Cyberthreat.id - Google segera menambal kerentanan zero-day di Chrome yang dieksploitasi oleh vendor spyware komersial.

Kerentanan ini dilaporkan ke tim Chrome oleh Clement Lecigne dari Grup Analisis Ancaman (TAG) Google hanya dua hari sebelum patch dirilis.

Google mengatakan pihaknya mengetahui bahwa eksploitasi kerentanan, yang dilacak sebagai CVE-2023-5217 dan digambarkan sebagai “heap buffer overflow dalam pengkodean vp8 di libvpx”, ada di alam liar.

Penasihat Google tidak memberikan informasi lebih lanjut tentang serangan yang mengeksploitasi zero-day.

“Akses ke detail bug dan tautan mungkin tetap dibatasi sampai sebagian besar pengguna mendapat pembaruan dengan perbaikan,” kata perusahaan itu sebagaimana dikutip TechCrunch.

Google TAG tidak segera menanggapi pertanyaan TechCrunch, namun peneliti TAG Maddie Stone mengatakan dalam sebuah postingan di X, sebelumnya Twitter, bahwa kerentanan Chrome telah dieksploitasi untuk memasang spyware.

Kerentanan telah diperbaiki di Google Chrome 117.0.5938.132, yang kini diluncurkan untuk pengguna Windows, Mac, dan Linux di saluran Desktop Stabil.

Baru minggu lalu, Google TAG mengungkapkan bahwa tiga zero-day yang baru-baru ini ditambal oleh Apple dikeluarkan untuk memblokir eksploitasi yang digunakan untuk menanam spyware Predator di telepon calon presiden Mesir.

Predator adalah spyware yang dikembangkan oleh Cytrox, vendor spyware komersial kontroversial, yang dapat mencuri konten ponsel korban setelah dipasang.

Rilis patch darurat untuk Chrome terjadi hanya beberapa minggu setelah Google memperbaiki zero-day yang dieksploitasi secara aktif yang ditemukan oleh tim Teknik dan Arsitektur Keamanan (SEAR) Apple dan Citizen Lab, sebuah organisasi hak digital di Universitas Toronto yang telah menyelidiki spyware selama lebih dari satu dekade.

Kerentanan ini awalnya salah diidentifikasi sebagai kerentanan Chrome, namun Google telah menetapkannya ke perpustakaan libwebp sumber terbuka yang digunakan untuk menyandikan dan mendekode gambar dalam format WebP.

 

Klasifikasi ulang ini berdampak pada banyak aplikasi populer yang menggunakan libwebp, termasuk 1Password, Firefox, Microsoft Edge, Safari, dan Signal.

Peneliti keamanan telah mengaitkan kerentanan tersebut, yang diberi peringkat tingkat keparahan maksimum 10/10, dengan rantai eksploitasi iMessage zero-click, bernama BLASTPASS, yang digunakan untuk menyebarkan spyware Pegasus milik NSO Group pada iPhone yang disusupi.

BLASTPASS digunakan terhadap anggota organisasi masyarakat sipil di Washington, D.C., menurut Bill Marczak dari Citizen Lab, yang menemukan eksploitasi tersebut.

Berbicara di TechCrunch Disrupt minggu lalu, Marczak berkata: “Akar kerentanannya adalah bug di perpustakaan gambar WebP Google, yang terintegrasi ke dalam iPhone.”

“Penyerang menemukan cara untuk mengeksploitasi ini dengan menjalankan kode arbitrer di kotak pasir iMessage Apple untuk memasang spyware di sistem.”[]