Google telah mengeluarkan pembaruan keamanan darurat untuk Chrome setelah menemukan kerentanan zero-day kritis yang sedang dieksploitasi secara aktif oleh penjahat siber dalam serangan dunia nyata. Threat Analysis Group perusahaan mengidentifikasi celah keamanan ini pada akhir Mei, mendorong respons segera untuk melindungi jutaan pengguna di seluruh dunia.
Kerentanan Mesin V8 Kritis Menimbulkan Risiko Serius
Kerentanan yang baru ditemukan, yang diberi kode CVE-2025-5419, menargetkan mesin JavaScript V8 Chrome dengan celah out-of-bounds read-and-write. Kelemahan keamanan ini memungkinkan penyerang jarak jauh mengeksploitasi korupsi heap melalui halaman HTML yang dibuat khusus. Kerentanan ini memiliki skor keparahan tinggi 8,8, yang mencerminkan potensinya untuk menimbulkan kerusakan signifikan.
Penjahat siber dapat memanfaatkan celah ini dengan membuat situs web berbahaya yang mengeksekusi kode arbitrer pada sistem pengunjung. Setelah dieksploitasi, kerentanan ini dapat menyebabkan kompromi sistem secara menyeluruh, pencurian data sensitif, atau penyebaran malware tambahan. Penggunaan mesin V8 yang luas di Chrome, Node.js, dan aplikasi web populer seperti Google Docs dan Gmail membuat kerentanan ini sangat mengkhawatirkan.
Detail Kerentanan
- CVE ID: CVE-2025-5419
- Skor Tingkat Keparahan: 8.8 (Tinggi)
- Jenis: Kerentanan pembacaan dan penulisan di luar batas
- Komponen yang Terpengaruh: Mesin JavaScript V8
- Tanggal Penemuan: 27 Mei 2025
- Status: Aktif dieksploitasi di alam liar
Timeline Penemuan dan Respons
Peneliti keamanan Clement Lecigne dan Benoît Sevens dari Threat Analysis Group Google menemukan dan melaporkan kerentanan ini pada 27 Mei 2025. Google bertindak cepat, mendorong perubahan konfigurasi ke versi stabil Chrome hanya satu hari setelah penemuan. Perusahaan kemudian merilis pembaruan saluran stabil yang komprehensif pada hari Senin, mengatasi tidak hanya zero-day tetapi juga dua masalah keamanan tambahan.
Google telah mengkonfirmasi bahwa penyerang sedang mengeksploitasi kerentanan ini secara aktif di alam liar tetapi dengan sengaja menahan detail spesifik tentang metode serangan dan pelakunya. Pendekatan hati-hati ini bertujuan untuk mencegah aktor jahat lain memanfaatkan bug tersebut sementara pengguna Chrome menerapkan patch keamanan yang diperlukan.
Timeline Zero-Day Chrome 2025
- Maret 2025: Zero-day pertama - memungkinkan penyebaran malware dalam serangan spionase
- Mei 2025: Zero-day kedua - memungkinkan pengambilalihan akun
- Juni 2025: Zero-day ketiga ( CVE-2025-5419 ) - kerentanan mesin V8
Informasi Pembaruan Penting untuk Pengguna
Pengguna Chrome harus segera memperbarui ke versi 137.0.7151.68 atau 137.0.7151.69 untuk sistem Windows dan macOS, atau versi 137.0.7151.68 untuk distribusi Linux. Meskipun Chrome biasanya memperbarui secara otomatis saat browser dimulai ulang, pengguna harus memverifikasi versi mereka secara manual untuk memastikan perlindungan.
Untuk memeriksa pembaruan, pengguna dapat menavigasi ke menu Chrome, pilih Help, kemudian About Google Chrome. Jika pembaruan tersedia, pengguna harus mengizinkan instalasi selesai dan meluncurkan ulang browser mereka segera. Proses verifikasi manual ini sangat penting mengingat eksploitasi aktif dari kerentanan tersebut.
Versi Chrome yang Diperlukan
- Windows: 137.0.7151.68 atau 137.0.7151.69
- macOS: 137.0.7151.68 atau 137.0.7151.69
- Linux: 137.0.7151.68
Pola Serangan Zero-Day Chrome yang Meningkat
Insiden keamanan terbaru ini menandai kerentanan zero-day Chrome ketiga yang ditemukan pada 2025, menyusul patch darurat sebelumnya yang dirilis pada Maret dan Mei. Celah sebelumnya memungkinkan penyebaran malware dalam kampanye spionase dan memfasilitasi serangan pengambilalihan akun. Pola ini merepresentasikan tren yang mengkhawatirkan, terutama mengingat Google mengatasi sepuluh kerentanan zero-day di Chrome sepanjang 2024.
Frekuensi masalah keamanan kritis ini menyoroti tantangan berkelanjutan yang dihadapi pengembang browser dalam mempertahankan keamanan terhadap aktor ancaman yang canggih. Pengguna harus tetap waspada dalam menerapkan pembaruan keamanan dengan segera untuk melindungi diri mereka dari ancaman yang muncul yang menargetkan browser web.