Cyberthreat.id – Mozilla, pengembang peramban web Firefox, baru saja merilis Firefox 97.0.2, Firefox ESR 91.6.1, Firefox for Android 97.3.0, dan peramban privasi Focus 97.3.0.

Pembaruan tersebut untuk memperbaiki kerentanan zero-day kritis yang secara aktif dieksploitasi peretas di alam liar, kata Mozilla, dikutip dari BleepingComputer, diakses Senin (7 Maret 2022).

Menurut Mozilla, kerentanan tersebut berupa “Use-after-free” yaitu ketika sebuah program mencoba menggunakan memori yang telah dibersihkan sebelumnya.

Peretas bisa saja mengeksploitasi jenis kerentanan tersebut sehingga mereka bisa mendapatkan program macet sementara dan secara bersamaan memungkinkan sebuah perintah dijalankan pada perangkat tanpa izin.

Kerentanan tersebut bisa dieksploitasi penyerang untuk menjalankan perintah dari jarak jauh, termasuk pengunduhan malware.

Kerentana pertama dilabeli CVE-2022-26485. Terjadi pada proses paramter XSLT. Menghapus parameter XSLT selama pemprosesan dapat menyebabkan eksploitasi “use-after-free”.

Kedua, kerentanan berlabel CVE-2022-26486. Terjadi pada WebGPU IPC Framework. Pesan tak terduga dalam WebGPU IPC Framework dapat menyebabkan “use-after-free” dan eksploitasi sandbox.

“Kami telah menerima laporan adanya serangan di alam liar dengan menyalahgunakan kerentanan ini,” ujar Mozilla.

Sayangnya, Mozilla belum berbagi bagaimana aktor ancaman menggunakan kerentanan zero-day ini dalam serangan. Namun, kemungkinan pengguna diarahkan oleh penyerang ke halaman web jahat.

Dua kerentanan tersebut ditemukan dan diungkapkan oleh perusahaan cybersecurity China, Qihoo 360 ATA.

Karena sifat kritis dari bug ini, pengguna disarankan untuk segera memperbarui peramban web. Pengguna dapat secara manual memeriksa pembaruan baru dengan membuka menu Firefox>Bantuan > Tentang Firefox.

Selanjutnya, Firefox akan secara otomatis memeriksa dan menginstal pembaruan terbaru dan meminta restart peramban.[]