Cyberthreat.id – Microsoft, perusahaan perangkat lunak Windows, menyatakan, adanya kerentanan di peramban buatannya (browser) Internet Explorer (IE) yang saat ini kemungkinan telah dieksploitasi penjahat siber.

Microsoft menyatakan sedang memperbaiki dan segera merilis tambalan (patch) untuk celah keamanan tersebut. Celah keamanan yang belum memiliki tambalan tersebut dikenal dengan istilah zero-day.

Microsoft mengatakan, kerentanan tersebut sebagai "serangan bertarget terbatas” dan hanya ditujukan pada sejumlah kecil pengguna.

Microsoft menggambarkan IE zero-day ini sebagai cacat eksekusi kode jarak jauh (RCE) yang disebabkan oleh bug kerusakan memori di mesin skrip IE—ini menyangkut komponen browser yang menangani kode JavaScript.

---

Berita Terkait

• Ada Bug Kritis di Browser Tua Internet Explorer
• Microsoft Rilis Patch untuk Kerentanan di Internet Explorer

---

Berikut penjelasan lengkap, Microsoft tentang zero-day ini:

“Kerentanan eksekusi kode jauh ada dalam cara mesin skrip menangani objek dalam memori di Internet Explorer. Kerentanan dapat merusak memori sedemikian rupa sehingga penyerang dapat mengeksekusi kode arbitrer dalam konteks pengguna saat ini.”

“Penyerang yang berhasil mengeksploitasi kerentanan bisa mendapatkan hak pengguna yang sama dengan pengguna saat ini. Jika pengguna saat ini masuk dengan hak pengguna administratif, penyerang yang berhasil mengeksploitasi kerentanan dapat mengendalikan sistem yang terpengaruh.”

“Seorang penyerang kemudian dapat menginstal program; melihat, mengubah, atau menghapus data; atau buat akun baru dengan hak pengguna penuh.”

“Dalam skenario serangan berbasis web, penyerang dapat meng-host situs web yang dibuat khusus, yang dirancang untuk mengeksploitasi kerentanan melalui IE dan kemudian meyakinkan pengguna untuk melihat situs web, misalnya, dengan mengirim email.”

Semua versi desktop Windows dan Server OS yang didukung terpengaruh. Sejauh ini zero-day ini tidak memiliki pengidentifikasi CVE yang ditetapkan oleh Microsoft.

Sebelumnya, Microsoft menambal dua kerentan serupa di IE pada September dan November 2019. Meski IE bukan browser default di versi OS Windows terbaru, browser masih diinstal dengan OS. Pengguna pada rilis Windows yang lebih lama adalah yang terutama berisiko, tulis ZDNet, Jumat (17 Januari 2020).[]