Google Chrome mendapatkan tambalan keamanan kedua untuk bug zero-day kritis dalam dua minggu

Google telah mulai meluncurkan pembaruan keamanan baru untuk browser Chrome desktop. Tambalan baru ini menyertakan perbaikan untuk total 10 kesalahan browser, termasuk kerentanan zero-day – kedua yang diketahui oleh Grup Analisis Ancaman (TAG) Google yang telah melacak pelaku ancaman dalam dua minggu terakhir. Seperti biasa, Google mengatakan bahwa detail bug dan tautan tidak akan diungkapkan sampai mayoritas pengguna Chrome menginstal pembaruan dan lubang keamanan di pustaka pihak ketiga yang relevan juga diperbaiki. Kerentanan zero-day mengacu pada kerentanan keamanan yang baru ditemukan yang dapat dieksploitasi oleh peretas.

Patch Keamanan Google Chrome 86.0.4240.183 dirilis untuk sistem operasi Windows, Mac, dan Linux. Google mengatakan dalam sebuah blog yang diposting di pembaruan Chrome pada 2 November bahwa mereka mengetahui laporan eksploitasi untuk kerentanan zero-day yang diidentifikasi sebagai CVE-2020-16009. Catatan perubahan pembaruan hanya berisi indikasi yang lewat bahwa bug zero-day ada di V8 – mesin JavaScript sumber terbuka yang dirancang untuk Google Chrome dan digunakan oleh browser Chromium lainnya, seperti Microsoft Edge dan Opera.

Masalah zero day yang diperbaiki di patch terakhir adalah yang kedua terdeteksi dalam 2 minggu terakhir dan yang keempat dalam 12 bulan terakhir. Google baru-baru ini merilis patch keamanan pada 20 Oktober untuk memperbaiki CVE-2020-15999 – bug kerusakan memori yang secara aktif dieksploitasi di pustaka tampilan font FreeType di dalam Chrome. Beberapa hari setelah patch keamanan dirilis untuk memperbaikinya, Google mengungkapkan pada tanggal 30 Oktober bahwa CVE-2020-15999 telah dieksploitasi untuk Day Zero sehubungan dengan kerentanan zero-day di Windows yang diidentifikasi sebagai CVE-2020-17087. Saat menerapkan kode berbahaya di dalam Google Chrome, Windows Zero-Day meningkatkan hak istimewa kode untuk menyerang Windows. Microsoft adalah tim elit penangkap bug Ben Hawkes, kepala teknologi Google Project Zero, kata Ini diharapkan akan dikeluarkan Patch keamanan untuk memperbaiki celah keamanan pada 10 November.

Meskipun TAG Google tidak mengungkapkan apakah kedua kekurangan itu dieksploitasi oleh pelaku ancaman yang sama, hal itu mengkonfirmasi bahwa motif penyerang tidak ada hubungannya dengan pemilihan presiden AS.

Source link

Originally posted 2020-11-30 22:22:22.