Google telah merilis pembaruan darurat untuk menambal kerentanan zero-day Chrome lainnya yang telah dieksploitasi secara liar, kelemahan kelima yang telah diperbaiki sejak awal tahun.
“Google menyadari bahwa eksploitasi untuk CVE-2026-11645 ada di alam liar,” kata perusahaan itu dalam sebuah pernyataan. Penasihat keamanan hari Senin.
Perusahaan memperbaiki zero-day bagi pengguna di saluran Desktop Stabil, dengan versi patch diluncurkan ke seluruh dunia pada sistem Windows (149.0.7827.102), Mac (149.0.7827.103), dan Linux (149.0.7827.102) dua minggu setelah peneliti keamanan anonim melaporkannya ke Google.
Meskipun Google mengatakan pembaruan keamanan mungkin memerlukan waktu berhari-hari atau berminggu-minggu untuk menjangkau semua pengguna Chrome, pembaruan tersebut segera tersedia ketika BleepingComputer memeriksa pembaruan hari ini.
Pengguna yang memilih untuk tidak memperbarui browser web mereka secara manual dapat mengandalkan Chrome untuk memeriksa pembaruan secara otomatis dan menginstalnya pada peluncuran berikutnya.
Kerentanan zero-day dengan tingkat keparahan tinggi ini (CVE-2026-11645) berasal dari kelemahan baca dan tulis di luar batas pada mesin JavaScript Chrome V8, yang dapat dieksploitasi oleh penyerang jarak jauh melalui halaman HTML yang dibuat untuk mengeksekusi kode arbitrer di dalam kotak pasir browser web.
Eksploitasi yang berhasil memungkinkan mereka mengakses data di luar buffer memori melalui kerusakan tumpukan, mengekspos informasi sensitif, atau memicu kerusakan.
Selain akses tidak sah ke memori di luar batas, bug zero-day yang sekarang telah ditambal juga dapat dieksploitasi untuk melewati mekanisme perlindungan seperti ASLR, sehingga lebih mudah untuk mencapai eksekusi kode melalui kelemahan lain.
Meskipun Google mengatakan pihaknya mengetahui eksploitasi zero-day CVE-2024-0519 yang digunakan dalam serangan, perusahaan tersebut belum memberikan rincian lebih lanjut tentang insiden ini.
“Akses ke detail bug dan tautan mungkin tetap dibatasi sampai sebagian besar pengguna mendapat pembaruan dengan perbaikan,” kata Google. “Kami juga akan mempertahankan pembatasan jika bug tersebut ada di perpustakaan pihak ketiga yang juga diandalkan oleh proyek lain, namun belum diperbaiki.”
Sejak awal tahun ini, Google mengatasi empat zero-day yang dieksploitasi dalam serangan:
- Bug pembatalan validasi iterator (CVE-2026-2441) di CSSFontFeatureValuesMap (implementasi nilai fitur font CSS oleh Chrome), yang oleh Google ditangani pada pertengahan bulan Februari.
- Dua Chrome zero-day lainnya bug yang dieksploitasi dalam serangan di bulan Maret: an menulis di luar batas kelemahan di perpustakaan grafis Skia 2D (CVE-2026-3909), dan kerentanan implementasi yang tidak sesuai di mesin JavaScript V8 dan WebAssembly (CVE-2026-3910).
- Dan kelemahan penggunaan setelah bebas Fajar (CVE-2026-5281), implementasi lintas platform yang mendasari standar WebGPU yang digunakan oleh proyek Chromium, yang mana Google ditambal pada bulan April.
Tahun lalu, Google memperbaiki yang lain delapan zero-day dieksploitasi di alam liarbanyak di antaranya dilaporkan oleh Threat Analysis Group (TAG) milik perusahaan, yang dikenal karena mengidentifikasi dan melacak eksploitasi zero-day yang digunakan dalam serangan spyware.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
