Google dikabarkan sudah merilis Chrome versi 86.0.4240.111 baru-baru ini untuk memperbaiki masalah keamanan, termasuk perbaikan untuk kerentanan kritis dalam Chrome yang sedang dieksploitasi secara aktif.
Kerentanan dilacak sebagai CVE-2020-15999 dan dideskripsikan sebagai kerentanan memory corruption dalam library untuk render font FreeType yang disertakan dengan distribusi Chrome standar.
Serangan yang aktif mengeksploitasi kerentanan FreeType ini ditemukan oleh peneliti keamanan dari Project Zero, salah satu tim keamanan internal Google.
Menurut ketua tim Project Zero Ben Hawkes, pelaku ancaman terlihat menyalahgunakan kerentanan kritis ini untuk melakukan serangan yang menargetkan pengguna Chrome.
Hawkes sekarang mendesak vendor aplikasi lain yang menggunakan library FreeType yang sama untuk memperbarui perangkat lunak mereka juga, jika pelaku ancaman memutuskan untuk mengalihkan target serangan terhadap pengguna aplikasi lain.
Sebuah perbaikan untuk kerentanan ini telah disertakan dalam FreeType 2.10.4, yang dirilis baru-baru ini.
Pengguna Chrome dapat memperbarui ke v86.0.4240.111 melalui fungsi pembaruan bawaan browser.
Menurut detail yang dibagikan oleh Glazunov, kerentanan ada di fungsi FreeType “Load_SBit_Png,” fungsi untuk memproses gambar PNG yang disematkan ke font. Itu dapat dimanfaatkan oleh penyerang untuk mengeksekusi kode arbitrer hanya dengan menggunakan font yang dibuat khusus dengan gambar PNG yang disematkan.
Project Zero discovered and reported an actively exploited 0day in freetype that was being used to target Chrome. A stable release that fixes this issue (CVE-2020-15999) is available here: https://t.co/ZRQe72Qfkh
— Ben Hawkes (@benhawkes) October 20, 2020
Baca Juga: “Google Hapus 106 Ekstensi Chrome Berbahaya“
Detail lebih lanjut tentang upaya eksploitasi aktif CVE-2020-15999 saat artikel ini terbit masih belum dipublikasikan. Google biasanya tidak terlebih dahulu merilis detail teknis selama berbulan-bulan sehingga bisa memberi pengguna cukup waktu untuk segera memperbarui dan menerapkan perbaikan.
Selain kerentanan kritis FreeType ini, Google juga memperbaiki empat masalah keamanan lain dalam pembaruan Chrome terbaru, tiga di antaranya adalah kerentanan yang juga berisiko tinggi dan satu kerentanan berisiko menengah.
