Google merilis pembaruan keamanan darurat untuk menutup dua kerentanan serius pada browser Chrome yang diketahui telah dimanfaatkan dalam serangan zero-day di dunia nyata.
Dalam pemberitahuan keamanan resminya, Google mengonfirmasi bahwa eksploitasi untuk dua celah dengan kode CVE-2026-3909 dan CVE-2026-3910 telah ditemukan beredar dan digunakan oleh pelaku ancaman.
Kerentanan ini berpotensi dimanfaatkan untuk menjalankan kode berbahaya atau menyebabkan browser crash jika tidak segera diperbarui.
Dua Kerentanan Berisiko Tinggi
Celah pertama yang ditambal, CVE-2026-3909, berasal dari kelemahan out-of-bounds write pada Skia, pustaka grafis 2D open-source yang digunakan Chrome untuk merender konten web serta elemen antarmuka pengguna.
Jika berhasil dieksploitasi, kerentanan tersebut dapat memungkinkan penyerang membuat browser mengalami crash atau bahkan menjalankan kode berbahaya pada sistem korban.
Sementara itu, kerentanan kedua CVE-2026-3910 terkait dengan implementasi yang tidak tepat pada V8, mesin JavaScript dan WebAssembly yang menjadi inti pemrosesan skrip dalam browser Chrome.
Kedua celah ini ditemukan oleh Google dan langsung diperbaiki hanya dalam waktu dua hari setelah laporan diterima.
Pembaruan Chrome Telah Dirilis
Google telah merilis patch keamanan melalui pembaruan Chrome terbaru pada kanal Stable Desktop dengan versi sebagai berikut:
- Windows: 146.0.7680.75
- macOS: 146.0.7680.76
- Linux: 146.0.7680.75
Pembaruan ini mulai didistribusikan secara bertahap kepada pengguna di seluruh dunia. Google menyebut proses distribusi dapat memakan waktu beberapa hari hingga beberapa minggu hingga mencapai seluruh perangkat pengguna.
Namun, pengguna yang melakukan pemeriksaan pembaruan secara manual dapat langsung memperoleh versi terbaru tersebut.
Chrome juga memiliki mekanisme pembaruan otomatis yang akan memeriksa dan menginstal update ketika browser dijalankan kembali.
Detail Eksploitasi Masih Dibatasi
Meskipun Google mengonfirmasi bahwa kedua kerentanan tersebut telah dieksploitasi secara aktif, perusahaan tidak mengungkapkan detail teknis lebih lanjut mengenai serangan yang memanfaatkan celah tersebut.
Pembatasan informasi ini dilakukan sebagai langkah keamanan untuk mencegah penyalahgunaan sebelum mayoritas pengguna berhasil memperbarui browser mereka.
Google juga menyatakan bahwa pembatasan serupa dapat diterapkan jika kerentanan berada pada pustaka pihak ketiga yang digunakan oleh proyek lain dan belum mendapatkan perbaikan.
Zero-Day Chrome yang Ditangani Tahun Ini
Kedua kerentanan ini menjadi zero-day kedua dan ketiga yang ditambal Google sejak awal 2026.
Sebelumnya, Google telah memperbaiki celah lain dengan kode CVE-2026-2441 pada pertengahan Februari. Kerentanan tersebut berkaitan dengan bug iterator invalidation pada komponen CSSFontFeatureValuesMap dalam implementasi fitur font CSS di Chrome.
Pada tahun 2025, Google mencatat telah memperbaiki delapan kerentanan zero-day yang diketahui dimanfaatkan dalam serangan aktif.
Sebagian besar celah tersebut dilaporkan oleh Threat Analysis Group (TAG) milik Google, sebuah tim peneliti keamanan yang fokus melacak eksploitasi zero-day yang sering digunakan dalam operasi spyware.
Program Bug Bounty Google
Pada kesempatan yang sama, Google juga mengungkapkan bahwa sepanjang tahun 2025 mereka telah membayarkan lebih dari 17 juta dolar AS kepada 747 peneliti keamanan melalui program Vulnerability Reward Program (VRP).
Program tersebut memberikan imbalan kepada peneliti yang berhasil menemukan dan melaporkan kerentanan keamanan pada produk Google sebelum dimanfaatkan oleh pihak yang tidak bertanggung jawab.