Google kembali merilis pembaruan keamanan penting untuk browser Chrome. Update ini mendorong versi Stable Chrome menjadi 145.0.7632.159/160 untuk Windows dan Mac, serta 145.0.7632.159 untuk Linux. Pembaruan tersebut hadir untuk menutup 10 celah keamanan, termasuk tiga kerentanan dengan tingkat risiko Critical.
Baca Juga : Cara Menghemat Pemakaian RAM Google Chrome
Seperti biasa, Google akan mendistribusikan update ini secara bertahap kepada pengguna Chrome dalam beberapa hari hingga beberapa minggu ke depan. Meski begitu, pengguna disarankan untuk segera melakukan pembaruan browser agar tetap terlindungi dari potensi serangan keamanan.
Menariknya, pembaruan ini juga menjadi bagian dari program responsible disclosure, di mana sejumlah peneliti keamanan independen dan tim internal Google melaporkan bug yang ditemukan. Bahkan, salah satu kerentanan dalam update kali ini mendapatkan bug bounty hingga $33.000 sebagai bentuk penghargaan bagi penelitinya.
Google sendiri masih membatasi akses terhadap detail teknis dari beberapa bug tersebut hingga mayoritas pengguna menerima update. Langkah ini dilakukan untuk mencegah eksploitasi sebelum patch tersebar luas.
3 Kerentanan Critical yang Berhasil Diperbaiki
Dari total 10 celah keamanan yang diperbaiki, tiga di antaranya memiliki tingkat keparahan Critical. Artinya, bug tersebut berpotensi dimanfaatkan untuk melakukan serangan serius terhadap pengguna.
Kerentanan pertama adalah CVE-2026-3536, yang berkaitan dengan integer overflow pada layer grafis ANGLE di Chrome. Bug ini dilaporkan oleh peneliti bernama cinzinga pada 18 Februari 2026 dan mendapatkan hadiah bug bounty sebesar $33.000.
Kerentanan Critical kedua adalah CVE-2026-3537, yang berkaitan dengan object lifecycle issue pada PowerVR. Masalah ini ditemukan oleh Zhihua Yao dari KunLun Lab pada 8 Januari dan memperoleh penghargaan sekitar $32.000.
Sementara itu, bug Critical ketiga adalah CVE-2026-3538, yaitu integer overflow pada engine grafis Skia, yang dilaporkan oleh Symeon Paraschoudis pada 17 Februari.
7 Kerentanan High Severity di Berbagai Komponen Chrome
Selain tiga bug Critical, Google juga menutup tujuh kerentanan lain dengan tingkat keparahan High. Bug-bug ini memengaruhi berbagai komponen penting Chrome, mulai dari mesin JavaScript hingga sistem multimedia browser.
Berikut daftar lengkapnya:
| CVE ID | Severity | Komponen | Tipe Kerentanan | Pelapor |
|---|---|---|---|---|
| CVE-2026-3536 | Critical | ANGLE | Integer Overflow | cinzinga |
| CVE-2026-3537 | Critical | PowerVR | Object Lifecycle Issue | Zhihua Yao, KunLun Lab |
| CVE-2026-3538 | Critical | Skia | Integer Overflow | Symeon Paraschoudis |
| CVE-2026-3539 | High | DevTools | Object Lifecycle Issue | Zhenpeng (Leo) Lin, depthfirst |
| CVE-2026-3540 | High | WebAudio | Inappropriate Implementation | Davi Antônio Cruz |
| CVE-2026-3541 | High | CSS | Inappropriate Implementation | Syn4pse |
| CVE-2026-3542 | High | WebAssembly | Inappropriate Implementation | qymag1c |
| CVE-2026-3543 | High | V8 | Inappropriate Implementation | qymag1c |
| CVE-2026-3544 | High | WebCodecs | Heap Buffer Overflow | c6eed09fc8b174b0f3eebedcceb1e792 |
| CVE-2026-3545 | High | Navigation | Insufficient Data Validation |
Jika dilihat dari daftar tersebut, kerentanan tersebar di berbagai subsistem Chrome. Mulai dari rendering grafis seperti ANGLE, Skia, dan PowerVR, hingga komponen penting lain seperti V8 JavaScript Engine, WebAssembly, CSS, WebAudio, dan WebCodecs.
Menurut Google, luasnya komponen yang terlibat menunjukkan besarnya attack surface pada browser modern. Artinya, semakin kompleks sebuah browser, semakin banyak pula area yang berpotensi menjadi target serangan.
Kenapa Bug Seperti Integer Overflow Berbahaya?
Beberapa bug yang diperbaiki kali ini termasuk kategori integer overflow dan heap buffer overflow. Kedua jenis kerentanan ini sering menjadi target eksploitasi oleh penyerang.
Jika dimanfaatkan, bug tersebut bisa membuka jalan untuk melakukan:
-
Remote Code Execution (RCE)
-
Sandbox Escape
-
Pengambilalihan kontrol sistem secara tidak sah
Itulah sebabnya Google memberi label Critical pada beberapa kerentanan tersebut dan mendorong pengguna untuk segera melakukan pembaruan.
Sistem Deteksi Bug yang Digunakan Google
Untuk meminimalkan risiko keamanan, Google sebenarnya telah menggunakan berbagai alat deteksi otomatis dalam proses pengembangan Chrome.
Beberapa teknologi yang digunakan antara lain:
-
AddressSanitizer
-
MemorySanitizer
-
libFuzzer
-
AFL (American Fuzzy Lop)
Tools ini dirancang untuk membantu menemukan bug terkait keamanan memori sebelum kode dirilis ke pengguna dalam versi stable. Meski begitu, kompleksitas Chrome tetap membuat penemuan bug baru menjadi hal yang tidak terhindarkan.
Langkah yang Disarankan untuk Pengguna Chrome
Agar tetap aman saat browsing, Google menyarankan beberapa langkah berikut:
1. Segera update Chrome
Buka menu:
Settings → Help → About Google Chrome
Chrome biasanya akan otomatis memeriksa dan mengunduh update terbaru.
2. Untuk administrator perusahaan
Admin IT disarankan untuk mendorong update melalui kebijakan enterprise agar semua perangkat dalam jaringan perusahaan mendapatkan patch terbaru.
3. Pantau halaman keamanan Chrome
Detail teknis lengkap dari CVE biasanya akan dipublikasikan di Chrome Security Page setelah proses rollout selesai.
4. Laporkan bug baru
Jika menemukan masalah keamanan baru, Google menyediakan platform pelaporan melalui crbug.com.
Baca Juga : Update Keamanan Chrome Rilis Patch Celah Eksekusi Kode Berbahaya
Belum Ada Bukti Eksploitasi Aktif
Sampai saat ini, Google menyatakan belum menemukan bukti adanya eksploitasi aktif terhadap sepuluh kerentanan yang diperbaiki dalam update ini.
Namun karena beberapa bug memiliki tingkat keparahan Critical, Google tetap menekankan bahwa melakukan update secepat mungkin adalah langkah paling aman bagi semua pengguna Chrome, baik di Windows, macOS, maupun Linux.
