Celah Kritis di Mesin V8 Chrome Bisa Bobol Sandbox dari Halaman Web Biasa

CLB.my.id - Badan Siber Amerika Serikat (CISA) resmi memasukkan celah keamanan baru di mesin V8 Google Chrome ke dalam daftar kerentanan yang sedang aktif dieksploitasi. Kerentanan bernomor CVE-2026-11645 ini memungkinkan peretas menjalankan kode berbahaya dari jarak jauh hanya dengan mengarahkan korban ke halaman web yang sudah dimodifikasi.

Apa Sebenarnya yang Terjadi?

CVE-2026-11645 adalah kerentanan jenis out-of-bounds read and write yang ditemukan di mesin V8, mesin JavaScript yang menjadi jantung Google Chrome. Mesin ini bertugas menafsirkan dan menjalankan kode JavaScript di setiap halaman web yang dibuka pengguna.

Ketika celah ini dieksploitasi, peretas bisa membaca dan menulis data di luar batas memori yang seharusnya diizinkan. Dampaknya, penyerang dapat menjalankan kode arbitrary di dalam sandbox Chrome, mekanisme keamanan yang dirancang untuk mengisolasi proses web dari sistem operasi utama.

Menurut deskripsi yang dipublikasikan di database NVD (National Vulnerability Desktop), kerentanan ini bisa dipicu melalui halaman HTML yang sudah dibuat khusus. Artinya, korban hanya perlu mengunjungi situs berbahaya tanpa mengunduh atau menginstal apa pun.

Skor Keparahan dan Dampak

CISA memberikan skor CVSS 3.1 sebesar 8,8 dari 10 untuk kerentanan ini, masuk kategori HIGH. Vektor serangannya tergolong sangat mengkhawatirkan karena bisa dilakukan dari jaringan (network) dengan kompleksitas rendah dan tanpa hak istimewa khusus.

Parameter CVSS menunjukkan serangan berbasis jaringan (AV:N), kompleksitas rendah (AC:L), tidak perlu hak akses (PR:N), tetapi memerlukan interaksi korban berupa klik atau kunjungan ke halaman berbahaya (UI:R). Dampaknya mencakup kerahasiaan (C:H), integritas (I:H), dan ketersediaan (A:H), semuanya pada level tinggi.

Dua jenis kelemahan teridentifikasi dalam kerentanan ini, yakni CWE-125 (Out-of-bounds Read) dan CWE-787 (Out-of-bounds Write). Kombinasi keduanya memberi penyerang kemampuan untuk memanipulasi memori secara leluasa di dalam sandbox.

Siapa yang Terdampak?

Kerentanan ini memengaruhi semua versi Google Chrome sebelum 149.0.7827.103 di seluruh platform desktop, termasuk Windows, Linux, dan macOS. Mengingat Chrome adalah peramban web paling populer di dunia dengan pangsa pasar lebih dari 60 persen, potensi dampaknya mencapai miliaran pengguna.

Google telah merilis pembaruan stabil (stable channel update) untuk Chrome Desktop yang menambal celah ini. Pengumuman resmi dipublikasikan melalui Chrome Releases blog, dan detail teknis kerentanan dilaporkan melalui tracker isu Chromium.

Mengapa CISA Memasukkannya ke Daftar KEV?

Known Exploited Vulnerabilities (KEV) Catalog adalah daftar kerentanan yang dikelola CISA berdasarkan bukti eksploitasi aktif di dunia nyata. Pemasukan CVE-2026-11645 ke daftar ini berarti ada konfirmasi bahwa penyerang sudah memanfaatkan celah ini untuk menyerang target nyata.

Berdasarkan Binding Operational Directive (BOD) 22-01, semua lembaga federal Amerika Serikat wajib memperbaiki kerentanan yang masuk katalog KEV dalam waktu yang ditentukan. Meskipun arahan ini berlaku untuk entitas pemerintah, praktik terbaik keamanan siber menyarankan semua pengguna dan organisasi segera memperbarui perangkat lunak yang terdampak.

Apa yang Harus Dilakukan Pengguna?

Langkah paling penting adalah memastikan Google Chrome sudah diperbarui ke versi 149.0.7827.103 atau yang lebih baru. Pengguna bisa mengecek versi Chrome melalui menu Help, lalu About Google Chrome. Browser biasanya akan memeriksa pembaruan secara otomatis dan mengunduhnya di latar belakang.

Selain memperbarui browser, pengguna juga disarankan untuk tidak mengklik tautan dari sumber yang tidak dikenal dan mengaktifkan fitur Safe Browsing yang sudah tersedia bawaan di Chrome. Fitur ini bisa memperingatkan pengguna sebelum mengakses situs yang dicurigai berbahaya.

Pengelola sistem di lingkungan enterprise perlu memastikan kebijakan pembaruan otomatis aktif dan memantau apakah seluruh endpoint sudah menjalankan versi Chrome yang aman. Dalam konteks organisasi besar, keterlambatan patch bahkan beberapa hari bisa menjadi jendela serangan yang cukup bagi penyerang untuk bergerak.

Konteks Lebih Luas

Pemasukan celah Chrome V8 ke katalog KEV menambah panjang daftar kerentanan peramban web yang dieksploitasi aktif tahun ini. Mesin V8, karena perannya menjalankan kode JavaScript di jutaan situs web, menjadi target favorit peneliti keamanan maupun penyerang. Celah di lapisan ini sering kali menjadi pintu masuk untuk serangan yang lebih kompleks, termasuk rantai eksploit yang bisa lolos dari sandbox sepenuhnya.

Bagi pengguna Indonesia yang mayoritas mengakses internet melalui perangkat mobile dan desktop dengan Chrome, pembaruan ini menjadi sangat relevan. Serangan berbasis web tidak mengenal batas geografis, dan situs berbahaya bisa menargetkan siapa saja tanpa pandang lokasi.