Google pada hari Selasa (18/04/2023) merilis perbaikan darurat untuk mengatasi kelemahan Zero-Day dengan tingkat keparahan tinggi yang dieksploitasi secara aktif di browser web Chrome.
Kelemahan itu dilacak sebagai CVE-2023-2136, dijelaskan sebagai kasus integer overflow di Skia, sebuah pustaka grafis 2D open source. Clément Lecigne dari Google’s Threat Analysis Group (TAG) telah dipercaya menemukan dan melaporkan kelemahan tersebut pada 12 April 2023.
“Integer overflow di Skia di Google Chrome sebelum 112.0.5615.137 memungkinkan penyerang jarak jauh yang telah mengkompromikan proses perender untuk berpotensi melakukan pelarian kotak pasir melalui halaman HTML yang dibuat,” menurut National Vulnerability Database (NVD) NIST.
Raksasa teknologi, yang juga memperbaiki tujuh masalah keamanan lainnya dengan update terbaru, mereka mengetahui eksploitasi aktif dari kelemahan tersebut, tetapi tidak mengungkapkan detail tambahan untuk mencegah penyalahgunaan lebih lanjut.
Perkembangan ini merupakan kali kedua Chrome pada tahun ini dieksplotasi peretas yang disebabkan kerentanan zero-day, dan muncul hanya beberapa hari setelah Google menambal CVE-2023-2033 minggu lalu. Tidak segera jelas apakah dua zero-day telah dirangkai bersama sebagai bagian dari serangan in-the-wild.
Pengguna disarankan untuk meningkatkan ke versi 112.0.5615.137/138 untuk Windows, 112.0.5615.137 untuk macOS, dan 112.0.5615.165 untuk Linux untuk mengurangi potensi ancaman. Pengguna browser berbasis Chromium seperti Microsoft Edge, Brave, Opera, dan Vivaldi juga disarankan untuk menerapkan perbaikan saat tersedia.
Sumber : The HackerNews