Security

94+ Celah Keamanan Ditemukan di IDE Cursor dan Windsurf Berbasis Chromium Lama

October 22, 2025
2 minutes read

Ox Security mengungkapkan bahwa dua IDE populer berbasis AI — Cursor dan Windsurf — ternyata mengandung lebih dari 94 kerentanan (n-day vulnerabilities) yang sudah lama diperbaiki di versi terbaru Chromium dan mesin V8 JavaScript.

Kedua IDE ini digunakan oleh sekitar 1,8 juta pengembang di seluruh dunia, sehingga potensi dampaknya tergolong besar.

⚠️ Penyebab: Menggunakan Komponen Electron yang Usang

Baik Cursor maupun Windsurf dibangun di atas Visual Studio Code (VS Code) versi lama yang menggunakan Electron framework — teknologi lintas platform yang menggabungkan Chromium untuk rendering web dan mesin V8 untuk eksekusi JavaScript.

Karena Electron menyertakan versi Chromium dan V8 tertentu, maka jika vendor tidak memperbarui framework tersebut, IDE otomatis tetap membawa semua celah keamanan yang sudah diperbaiki di versi Chromium berikutnya.

“Sejak Electron menyematkan Chromium dan V8, IDE-IDE ini bergantung pada versi lama yang rentan terhadap bug yang telah diperbaiki di rilis terbaru,” jelas Ox Security.

🧩 Jenis Kerentanan yang Ditemukan

Peneliti Nir Zadok dan Moshe Siman Tov Bustan dari Ox Security menunjukkan bahwa Cursor dan Windsurf masih rentan terhadap CVE-2025-7656, yaitu integer overflow di Maglev JIT (Just-In-Time) compiler milik mesin V8, yang telah diperbaiki Google pada 15 Juli 2025.

Dalam uji coba, mereka mengeksekusi serangan melalui deeplink, yang memaksa Cursor untuk membuka URL berisi payload eksploitasi.
Hasilnya — Cursor crash (denial-of-service), tetapi peneliti menegaskan bahwa dalam skenario nyata, serangan bisa dieksploitasi untuk menjalankan kode arbitrer.

Kemungkinan jalur serangan mencakup:

  • Ekstensi jahat yang menyisipkan kode eksploit.
  • File README atau dokumentasi berisi skrip berbahaya yang dipratinjau di IDE.
  • Serangan phishing dengan tautan yang mengarahkan IDE membuka laman berisi payload.

🧠 Skala Risiko

Menurut Ox Security, sejak rilis Chromium 132.0.6834.210 pada Maret 2025, sudah ada setidaknya 94 CVE baru yang belum ditambal di versi Chromium yang digunakan Cursor (v0.47.9).

“Kami baru mengeksploitasi satu bug — dan itu saja cukup untuk menunjukkan betapa luasnya permukaan serangan,” ujar tim Ox.

Cursor menganggap laporan tersebut “di luar lingkup” karena dianggap hanya menyebabkan self-inflicted DoS, sedangkan Windsurf tidak merespons sama sekali.
Namun, para peneliti menilai sikap ini berbahaya karena mengabaikan potensi eskalasi ke serangan memori dan eksekusi kode jarak jauh.

🧰 Solusi dan Rekomendasi

  • Perbarui ke IDE yang menggunakan versi Chromium dan Electron terbaru, seperti VS Code resmi dari Microsoft.
  • Hindari membuka file markdown, README, atau tautan yang tidak dikenal langsung dari IDE.
  • Pastikan ekstensi pihak ketiga berasal dari sumber tepercaya.
  • Vendor disarankan untuk segera memutakhirkan framework Electron agar menutup celah keamanan yang sudah diketahui.

Sumber: Ox Security, BleepingComputer

Tags
October 22, 2025
2 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button