Jakarta - Sebuah kerentanan keamanan berbahaya ditemukan pada library JavaScript sha.js yang banyak digunakan untuk sistem keamanan aplikasi web. Kerentanan ini dapat dimanfaatkan penyerang untuk memanipulasi sistem keamanan dan mengakses data sensitif.

Apa itu Library sha.js?

Library sha.js adalah komponen perangkat lunak yang sangat populer di kalangan pengembang web untuk membuat "hash" atau sidik jari digital dari data. Hash ini digunakan untuk:

• Menyimpan password dengan aman

• Memverifikasi integritas data

• Mengamankan transaksi digital

• Membuat tanda tangan digital

Library ini digunakan oleh jutaan aplikasi web dan mobile di seluruh dunia, termasuk aplikasi Node.js dan browser web.

Detail Kerentanan

Kerentanan yang diberi kode CVE-2025-9288 ini memiliki skor keparahan 9,1 dari 10 dalam skala CVSS, yang menunjukkan tingkat bahaya yang sangat tinggi.

Penyebab Masalah:

• Library tidak melakukan pengecekan tipe data input yang memadai

• Hal ini memungkinkan penyerang mengirim data berbahaya untuk memanipulasi proses hash

Teknik Serangan yang Mungkin Dilakukan

1. Hash State Rewinding

Penyerang dapat mengubah hash yang sudah "ditandai" menjadi tidak bertanda, sehingga mengelabui sistem keamanan.

2. Hash Collision (Tabrakan Hash)

Membuat dua data berbeda menghasilkan hash yang sama, sehingga sistem tidak bisa membedakan keduanya.

3. Serangan Denial of Service (DoS)

Memaksa library masuk ke dalam loop tak terbatas sehingga aplikasi menjadi tidak responsif.

4. Pencurian Kunci Kriptografi

Yang paling berbahaya, penyerang dapat mengeksploitasi inkonsistensi untuk mengekstrak kunci privat kriptografi dari sistem yang menggunakan hash untuk menghasilkan nonce (nomor acak).

Dampak Potensial

Kerentanan ini dapat menyebabkan:

• Kebocoran data sensitif seperti password dan informasi pribadi

• Manipulasi transaksi keuangan digital

• Peretasan akun pengguna melalui bypass sistem autentikasi

• Gangguan layanan aplikasi web dan mobile

• Pencurian identitas digital dan aset kripto

Cakupan Dampak

Mengingat sha.js digunakan secara luas dalam:

• Aplikasi berbasis Node.js

• Aplikasi web browser

• Platform e-commerce

• Sistem pembayaran digital

• Aplikasi perbankan online

• Cryptocurrency wallet

Jutaan pengguna di seluruh dunia berpotensi terpengaruh oleh kerentanan ini.

Solusi dan Rekomendasi

Untuk Pengembang:

1. Update Segera: Perbarui library sha.js ke versi 2.4.12 atau yang lebih baru

2. Audit Kode: Periksa semua aplikasi yang menggunakan sha.js

3. Testing Keamanan: Lakukan pengujian keamanan menyeluruh setelah update

Untuk Pengguna:

1. Update Aplikasi: Pastikan semua aplikasi web dan mobile dalam versi terbaru

2. Ganti Password: Pertimbangkan mengganti password penting setelah developer aplikasi melakukan update

3. Monitor Aktivitas: Pantau aktivitas tidak wajar pada akun-akun penting

Respons Industri

Para ahli keamanan siber menekankan bahwa ini adalah salah satu kerentanan JavaScript paling serius tahun 2025. Banyak perusahaan teknologi besar telah mulai melakukan audit internal dan memperbarui sistem mereka.

Kerentanan ini mengingatkan pentingnya pemeliharaan keamanan library dan dependensi dalam pengembangan aplikasi modern.

Sumber:
Security Online - "CVE-2025-9288 Critical Flaw in Popular JavaScript Library Threatens Global Web Security"
Link: https://securityonline.info/cve-2025-9288-critical-flaw-in-popular-javascript-library-threatens-global-web-security/

Klasifikasi: TLP: Amber (Traffic Light Protocol - Amber