Chrome 149 Rilis Patch Darurat, 28 Celah Termasuk Satu yang Sedang Aktif Dieksploitasi

CLB.my.id - Google merilis update Chrome 149 yang menambal 28 kerentanan keamanan, termasuk CVE-2026-11645, celah kritis di mesin V8 JavaScript yang sudah dikonfirmasi sedang aktif dieksploitasi di dunia nyata. CISA langsung memasukkan celah ini ke katalog Known Exploited Vulnerabilities dan memerintahkan agensi federal AS untuk segera memperbarui browser mereka.

CVE-2026-11645 adalah kerentanan out-of-bounds read dan write di V8, mesin JavaScript yang menjadi jantung eksekusi kode di Chrome. Celah ini memungkinkan penyerang jarak jauh mengeksekusi kode arbitrer hanya dengan membuat korban mengunjungi situs web berbahaya. Tidak diperlukan interaksi tambahan dari pengguna, cukup membuka halaman yang sudah terinfeksi.

Bagaimana Eksploitasi Terjadi di Dunia Nyata

Serangan yang diamati oleh peneliti keamanan menggunakan teknik drive-by compromise. Korban diarahkan ke situs yang sudah dikompromikan atau situs buatan penyerang yang meng-host JavaScript berbahaya. Saat halaman dimuat, exploit memicu akses memori di luar batas pada mesin V8, memungkinkan eksekusi kode dalam konteks browser.

CISA dan The Hacker News melaporkan bahwa kampanye eksploitasi masih berlangsung. Indikator kompromi yang sudah terdeteksi meliputi payload HTML dan JavaScript mencurigakan serta proses Chrome yang spawn secara anomali. Meskipun belum ada proof-of-concept publik yang dirilis, diskusi teknis tentang cara mengeksploitasi celah ini sudah mulai bermunculan di forum keamanan dan media sosial.

Kerentanan ini diklasifikasikan di bawah CWE-125 (Out-of-bounds Read) dan CWE-787 (Out-of-bounds Write), dua kategori yang dikenal sangat mudah dieksploitasi dan berdampak serius.

27 Celah Lain yang Ikut Ditambal

Selain CVE-2026-11645, Chrome 149 menambal 27 kerentanan lain yang tersebar di berbagai komponen browser. Sebagian besar adalah masalah keamanan memori seperti use-after-free dan integer overflow.

Beberapa celah use-after-free menargetkan komponen Ozone (CVE-2026-11628 dan CVE-2026-11629) serta Bluetooth (CVE-2026-11633, CVE-2026-11635, CVE-2026-11641, CVE-2026-11698, dan CVE-2026-11699). Ada pula integer overflow di libyuv (CVE-2026-11640 dan CVE-2026-11678) yang bisa menyebabkan buffer overflow dan eksekusi kode.

Komponen yang terdampak mencakup hampir seluruh lapisan Chrome, dari File Input, Aura, TabStrip, Gamepad, Autofill, Views, Printing, Compositing, Web Apps, Proxy, ViewTransitions, FullScreen, Network, Extensions, CameraCapture, hingga Media.

Sebagian besar kerentanan ini ditemukan melalui audit internal dan program bounty eksternal Google Chrome Vulnerability Reward Program. Kecepatan Google merilis patch ke channel stabil menunjukkan betapa kritisnya masalah ini.

Apa yang Harus Dilakukan Pengguna Chrome

Langkah paling penting adalah segera memperbarui Chrome ke versi 149.0.7827.102 atau 149.0.7827.103. Pengguna bisa mengecek versi mereka melalui menu Help, lalu About Google Chrome. Jika versi masih di bawah angka tersebut, Chrome akan otomatis mengunduh dan menginstal update.

Untuk organisasi dan perusahaan, CISA merekomendasikan untuk segera melakukan deployment patch ini di semua endpoint. Batas waktu remediasi untuk agensi federal sudah ditetapkan, tapi panduan ini berlaku untuk semua organisasi mengingat luasnya penggunaan Chrome di seluruh dunia.

Pengguna juga disarankan untuk membatasi akses jaringan ke situs yang tidak dikenal, mengaktifkan fitur Safe Browsing di Chrome, dan memantau proses browser yang mencurigakan di sistem mereka. Patch ini bukan sekadar update rutin, melainkan respons terhadap ancaman nyata yang sedang aktif dieksploitasi.***