Google merilis pembaruan keamanan darurat untuk menutup celah zero-day terbaru di Chrome, yang menjadi kerentanan ketujuh tahun ini yang diketahui sudah dieksploitasi dalam serangan nyata.
Kerentanan CVE-2025-13223 di Mesin V8
Celah dengan kode CVE-2025-13223 ini memiliki tingkat keparahan tinggi dan berasal dari kelemahan type confusion pada mesin JavaScript V8. Kerentanan tersebut dilaporkan pekan lalu oleh Clement Lecigne dari Google Threat Analysis Group (TAG), tim yang kerap mengungkap eksploitasi zero-day yang digunakan dalam kampanye spyware oleh kelompok ancaman yang didukung negara.
TAG sering menemukan serangan yang menargetkan jurnalis, politisi oposisi, aktivis, dan individu berisiko tinggi lainnya—menunjukkan potensi serius dari eksploitasi kali ini.
Patch Sudah Tersedia
Google memperbaiki celah ini melalui rilis berikut:
- Windows: 142.0.7444.175/.176
- Mac: 142.0.7444.176
- Linux: 142.0.7444.175
Meskipun pembaruan akan digulirkan secara bertahap ke seluruh pengguna Stable Channel dalam beberapa minggu, patch sudah muncul dan dapat diunduh segera melalui menu Help > About Google Chrome.
Chrome biasanya memperbarui dirinya secara otomatis, tetapi pengguna disarankan untuk memeriksa versi dan melakukan Relaunch agar perlindungan segera aktif.
Detail Eksploitasi Masih Dirahasiakan
Google mengonfirmasi bahwa CVE-2025-13223 telah digunakan dalam serangan, tetapi belum merinci teknik eksploitasinya. Perusahaan menyatakan bahwa detail teknis ditahan sementara sampai sebagian besar pengguna telah memasang pembaruan, atau hingga proyek lain yang menggunakan pustaka terkait turut merilis perbaikan.
Zero-Day Ketujuh Tahun Ini
Kerentanan ini menambah daftar panjang zero-day Chrome pada 2025. Sebelumnya, Google telah menambal beberapa celah kritis pada:
- Maret, Mei, Juni, Juli, September — termasuk CVE-2025-10585 dan CVE-2025-6558 yang aktif dieksploitasi
- Mei — celah CVE-2025-4664 yang memungkinkan pembajakan akun
- Juni — celah out-of-bounds pada V8 (CVE-2025-5419)
- Maret — celah sandbox escape (CVE-2025-2783) yang dipakai dalam serangan spionase
Pada 2024, Google juga menambal 10 zero-day yang diekspos lewat kompetisi Pwn2Own atau digunakan dalam serangan dunia nyata.
Pembaruan terbaru ini menegaskan kembali pentingnya pemasangan patch segera bagi seluruh pengguna Chrome, mengingat intensitas eksploitasi zero-day yang terus meningkat.