Android Rilis Patch Juni 2026, 124 Lubang Keamanan Ditambal Termasuk Zero-Day yang Sedang Aktif

CLB.my.id - Google merilis pembaruan keamanan Juni 2026 untuk Android yang menambal 124 kerentanan di seluruh versi yang masih didukung, yaitu Android 14, 15, 16, dan 16 QPR2. Dari ratusan celah itu, satu di antaranya sudah aktif dieksploitasi di dunia nyata.

Kerentanan yang sedang dalam eksploitasi aktif adalah CVE-2025-48595, sebuah celah elevasi hak akses berat di komponen Android Framework. Dalam buletin resminya, Google menyatakan ada indikasi bahwa celah ini sedang dalam eksploitasi terbatas dan tertarget. Hingga kini, Google belum mengidentifikasi siapa pelaku di balik serangan tersebut.

Celah ini memerlukan akses fisik atau foothold lokal di perangkat untuk bisa dimanfaatkan. Begitu berhasil dieksploitasi, penyerang bisa meningkatkan hak akses ke tingkat yang lebih luas, menjadikannya bagian dari rantai serangan yang lebih besar. CVE-2025-48595 mempengaruhi setiap versi Android yang saat ini masih mendapat dukungan keamanan.

Celah Paling Berat Tapi Belum Dieksploitasi

Meski bukan yang sedang aktif dieksploitasi, celah paling serius dalam pembaruan ini adalah CVE-2025-65018. Kerentanan kritis di komponen Framework ini memungkinkan eskalasi hak akses jarak jauh tanpa interaksi pengguna sama sekali. Artinya, penyerang tidak perlu menipu korban untuk mengklik apa pun.

Google belum mengonfirmasi adanya eksploitasi untuk CVE-2025-65018. Namun profil serangannya yang tanpa klik membuat celah ini jauh lebih mudah diskalakan jika ada yang berhasil membuat exploit yang berfungsi. Perlu dicatat bahwa peringkat keparahan Google mengasumsikan mitigasi platform dinonaktifkan. Pada perangkat dengan mitigasi yang masih aktif, tingkat eksploitabilitas di dunia nyata bisa lebih rendah.

Selain dua celah utama tersebut, Google juga menambal 18 kerentanan kritis lainnya yang tersebar di komponen Framework, System, dan Qualcomm closed-source. Dari seluruh batch, hanya satu kerentanan yang memungkinkan eksekusi kode jarak jauh, yaitu CVE-2026-0059 di komponen System.

Dua Level Patch dan Cara Mendapatkannya

Google merilis dua level patch untuk pembaruan ini: 2026-06-01 dan 2026-06-05. Level 2026-06-01 berisi perbaikan inti termasuk zero-day. Level 2026-06-05 mencakup semua perbaikan tersebut ditambah patch untuk subkomponen kernel dan pihak ketiga closed-source yang tidak berlaku untuk semua perangkat. Kedua level sudah menangani zero-day yang aktif dieksploitasi.

Beberapa perbaikan bisa dikirim melalui Google Play atau Project Mainline tanpa perlu pembaruan firmware penuh dari produsen. Mekanisme ini mempersempit jendela paparan bagi pengguna perangkat non-Pixel. Pembaruan Mainline berjalan otomatis di latar belakang, sehingga pengguna yang belum menerima firmware Juni mungkin sudah mendapat perlindungan untuk beberapa kerentanan tanpa menyadarinya.

Untuk sisanya, jadwal bergantung pada masing-masing produsen. Perangkat Pixel menerima patch terlebih dahulu. Sementara ketersediaan untuk Samsung, Motorola, Xiaomi, OnePlus, dan merek lainnya tergantung jadwal rilis vendor masing-masing. Perangkat yang sudah tidak lagi mendapat pembaruan keamanan membawa risiko zero-day yang tidak tertangani selama masih digunakan.

Perubahan Jadwal Pembaruan Google

Sejak Juli 2025, Google hanya menangani kerentanan paling kritis setiap bulan, sementara pembaruan yang lebih luas dikirim setiap tiga bulan. Perubahan ini mempengaruhi seberapa cepat isu keamanan tingkat rendah sampai ke pengguna, bahkan pada perangkat yang sepenuhnya didukung.

Pengguna bisa memeriksa level patch keamanan di Pengaturan dan mencari versi 2026-06-01 atau 2026-06-05. Bagi pengguna non-Pixel yang menunggu firmware, memeriksa apakah pembaruan komponen Mainline sudah diterapkan melalui Play Store adalah langkah pertama yang masuk akal.

Satu hal yang belum terjawab adalah atribusi. Belum ada pihak luar yang secara publik mengidentifikasi siapa yang mengeksploitasi CVE-2025-48595 atau terhadap siapa serangan itu ditujukan. Sampai Google atau perusahaan intelijen ancaman menyebut pelakunya, buletin ini hanya memberi tahu pengguna apa yang harus ditambal, bukan siapa yang harus disalahkan.