Chrome 149 Punya Celah Kritis V8 yang Sedang Dieksploitasi, CISA Minta Semua Orang Segera Update

CLB.my.id - CISA memasukkan tiga celah baru ke dalam katalog Known Exploited Vulnerabilities pada 9 Juni 2026, dan salah satunya menargetkan jutaan pengguna browser setiap hari. CVE-2026-11645 adalah celah out-of-bounds read and write di mesin V8 Google Chrome, komponen yang bertanggung jawab menjalankan JavaScript di setiap halaman web yang dibuka. Dengan skor CVSS 8.8, celah ini memungkinkan penyerang jarak jauh mengeksekusi kode arbitrary di dalam sandbox browser hanya dengan membuat korban mengunjungi halaman HTML yang sudah disiapkan.

V8 adalah jantung dari Google Chrome. Setiap kali pengguna membuka situs web, menjalankan aplikasi web, atau bahkan sekadar memuat halaman berita, V8 yang memproses seluruh kode JavaScript di baliknya. Celah out-of-bounds berarti V8 bisa membaca atau menulis data di luar batas memori yang seharusnya, sebuah kondisi yang sudah lama menjadi senjata favorit periset keamanan dan penyerang untuk mendapatkan kendali atas proses browser.

Versi Chrome yang terdampak adalah semua versi sebelum 149.0.7827.103. Google sudah merilis patch melalui Stable Channel Update, dan CISA memberikan tenggat 23 Juni 2026 bagi lembaga federal Amerika Serikat untuk menerapkan pembaruan. Bagi pengguna umum, proses update Chrome biasanya berjalan otomatis, tetapi banyak pengguna yang menunda restart browser sehingga patch tidak aktif selama berminggu-minggu.

Dua Celah Lain yang Mengancam Infrastruktur Jaringan

Dua celah lain yang dimasukkan ke katalog KEV bersamaan menargetkan infrastruktur jaringan enterprise. CVE-2026-7473 mempengaruhi Arista Extensible Operating System, sistem operasi yang banyak digunakan di data center dan jaringan skala besar. Celah ini berkaitan dengan proses dekapsulasi tunnel yang tidak memverifikasi tipe protokol tunnel. Akibatnya, switch Arista bisa salah memproses paket tunnel yang tidak dikonfigurasi, membuka celah untuk manipulasi lalu lintas jaringan. Skor CVSS-nya 5.8, lebih rendah dari dua celah lainnya, tetapi statusnya yang sudah dieksploitasi secara aktif membuatnya tetap berbahaya.

CVE-2026-20245 menargetkan Cisco Catalyst SD-WAN Manager dengan celah improper encoding atau escaping of output. Meskipun detail teknisnya belum diungkap selengkap dua celah lainnya, Cisco adalah penyedia infrastruktur jaringan terbesar di dunia, sehingga setiap celah yang sudah dieksploitasi secara aktif di produk mereka selalu menjadi perhatian serius.

Mengapa Ini Penting bagi Pengguna Biasa

Bagi pengguna Indonesia yang mengandalkan Chrome sebagai browser utama, celah V8 ini adalah ancaman langsung. Tidak perlu mengunduh file atau menginstal aplikasi. Cukup mengunjungi halaman web yang sudah disiapkan penyerang, dan kode berbahaya bisa dieksekusi di dalam browser. Dalam skenario serangan yang lebih canggih, celah seperti ini sering dikombinasikan dengan celah sandbox escape untuk mendapatkan kendali penuh atas sistem operasi.

CISA mengingatkan bahwa jenis celah seperti ini merupakan vektor serangan yang paling sering dimanfaatkan oleh aktor ancaman siber. Dengan memasukkan ketiga celah ini ke katalog KEV, CISA mengonfirmasi bahwa bukti eksploitasi aktif sudah ditemukan di lapangan. Pengguna disarankan segera memeriksa versi Chrome mereka melalui menu Help, About Google Chrome, dan memastikan browser sudah diperbarui ke versi 149.0.7827.103 atau yang lebih baru.***