Google Rilis Patch Darurat untuk Zero-Day Kelima Chrome di 2026: Serangan Aktif Eksploitasi Mesin V8

Bagi pengguna awam, serangan yang berhasil berarti penyerang dapat menjalankan kode di sistem korban dengan tingkat hak akses proses browser. Ini biasanya cukup untuk memasang malware, mencuri data, atau melancarkan eksploitasi lanjutan. Meskipun pengungkapan Google menyebutkan bug ini "memungkinkan penyerang jarak jauh mengeksekusi kode arbitrer di dalam sandbox," sifat dasar dari celah out-of-bounds read/write juga membuat teknik untuk melewati perlindungan seperti ASLR menjadi praktis bagi penyerang yang menginginkan kompromi sistem yang lebih dalam .

Detail Patch dan Linimasa

Patch darurat ini didistribusikan melalui kanal Stable Desktop pada 8 Juni 2026, sebagai bagian dari rilis besar yang mengoreksi total 74 kerentanan keamanan dalam satu pembaruan . Google mengonfirmasi bahwa eksploitasi untuk CVE-2026-11645 "telah ditemukan di alam liar (exists in the wild)," yang menjadikan pembaruan ini sangat mendesak dan wajib diaplikasikan bagi siapa pun yang menjalankan Chrome di desktop .

Versi yang sudah ditambal adalah:

• Windows dan macOS: Chrome 149.0.7827.102 / 149.0.7827.103
• Linux: Chrome 149.0.7827.102

Seperti standar pembaruan Chrome Stable, perbaikan ini diluncurkan secara bertahap selama beberapa hari dan minggu. Namun, Anda bisa mempercepatnya secara manual melalui Menu Chrome > Bantuan > Tentang Google Chrome.

Bug Bounty dan Pengungkapan

Seorang peneliti keamanan anonim yang menggunakan nama alias "303f06e3" menemukan dan melaporkan kerentanan ini kepada Google pada 27 April 2026 . Google memberikan hadiah bug bounty sebesar $55.000 atas temuan ini, sesuai dengan tingkatan penghargaan Program Chrome Vulnerability Rewards untuk bug korupsi memori V8 berdampak tinggi . Meskipun unggahan blog resmi Chrome Releases untuk siklus ini mencantumkan jumlah bounty, Google biasanya tidak merinci jumlah bounty untuk setiap kerentanan individual dalam penasihat keamanannya .

Gambaran Besar Zero-Day Chrome di 2026

Dengan adanya CVE-2026-11645, kini sudah ada lima zero-day Chrome yang telah ditambal dan terbukti dieksploitasi secara liar hanya di tahun 2026 . Daftar lengkap sebelum Juni menunjukkan tempo eksploitasi browser yang semakin cepat:

• CVE-2026-2441 (Februari 2026): Celah use-after-free di pemrosesan CSS Chrome yang memungkinkan eksekusi kode jarak jauh di dalam sandbox melalui halaman HTML buatan .
• CVE-2026-3909 (12 Maret 2026): Kerentanan out-of-bounds write di Skia, pustaka grafis 2D yang mendasari alur rendering Chrome .
• CVE-2026-3910 (12 Maret 2026): Bug implementasi yang tidak tepat (inappropriate implementation) di V8 yang memungkinkan eksekusi kode arbitrer di dalam sandbox, ditambal bersamaan dengan rilis yang sama untuk CVE-2026-3909 .
• CVE-2026-5281 (1 April 2026): Bug use-after-free di Dawn, implementasi WebGPU lintas platform milik Chrome. CISA menambahkannya ke katalog Kerentanan yang Diketahui Dieksploitasi (Known Exploited Vulnerabilities), dengan batas waktu bagi lembaga federal AS untuk menambalnya .
• CVE-2026-11645 (Juni 2026): Zero-day out-of-bounds read/write di V8 yang ditambal dalam pembaruan darurat ini .

Kelima kerentanan ini dikonfirmasi telah dieksploitasi di alam liar sebelum patch dikirimkan — sebuah pola yang membuat tahun 2026 berada di jalur untuk melampaui jumlah total zero-day Chrome dari tahun-tahun sebelumnya. Berbagai sumber melaporkan bahwa pengungkapan setiap bulan kini sering kali menyertakan setidaknya satu bug yang dieksploitasi secara aktif, memberikan tekanan terus-menerus pada tim TI untuk mempersingkat siklus patch mereka untuk perangkat lunak browser .

Yang Harus Dilakukan Pengguna Sekarang

Chrome biasanya memperbarui dirinya sendiri di latar belakang, tetapi peluncuran otomatis dapat memakan waktu berhari-hari untuk menjangkau semua pengguna. Untuk perlindungan segera, buka Chrome, buka menu tiga titik di sudut kanan atas, pilih Bantuan > Tentang Google Chrome, dan biarkan browser memeriksa serta menerapkan pembaruan yang tersedia. Nomor versi Anda seharusnya menjadi 149.0.7827.102 atau lebih tinggi di Windows dan Linux, dan 149.0.7827.103 atau lebih tinggi di macOS .

Organisasi yang mengelola penerapan Chrome harus segera memverifikasi bahwa semua endpoint menerima rilis stabil terbaru dan mempertimbangkan untuk mempercepat jadwal penerapan untuk patch out-of-band ini. Status eksploitasi "in the wild" yang telah dikonfirmasi berarti sistem apa pun yang menjalankan Chrome versi lebih lama tetap rentan terhadap serangan aktif.