Security

Kelalaian Google Ungkap Detail Celah Kritis Chromium: Izinkan Eksekusi Kode JavaScript Permanen Bahkan Saat Browser Ditutup

19 seconds ago
3 minutes read

Raksasa teknologi Google dilaporkan secara tidak sengaja membocorkan rincian teknis mendalam mengenai celah keamanan kritis yang belum diperbaiki (unfixed flaw) pada proyek Chromium. Celah fatal ini memungkinkan penyerang mengeksekusi kode JavaScript dari jarak jauh secara permanen di latar belakang, bahkan setelah pengguna menutup aplikasi penjelajah web (browser) mereka.

Kebocoran ini bersumber dari dicabutnya pembatasan akses secara otomatis pada sistem Chromium Issue Tracker. Akibat insiden salah urus sistem ini, cetak biru eksploitasi sempat terpapar bebas ke publik sebelum akhirnya disadari dan dikunci kembali oleh tim Google.

Mekanisme Teknis: Eksploitasi Service Worker Menjadi Botnet Senyap

Kerentanan ini pertama kali ditemukan dan dilaporkan oleh peneliti keamanan Lyra Rebane sejak Desember 2022. Masalah utama bersarang pada cacat logika penanganan fitur Service Worker (skrip latar belakang browser yang biasanya digunakan untuk mendukung fungsi luring atau proses unduhan).

Alur kerja eksploitasi berjalan melalui skenario berikut:

  1. Kunjungan Situs Tunggal: Korban cukup memicu serangan hanya dengan mengunjungi satu situs web berbahaya sekali saja (single visit), tanpa memerlukan interaksi lanjutan (no user interaction).
  2. Pemicuan Service Worker Abadi: Situs tersebut akan menyuntikkan Service Worker khusus (misalnya menyamar sebagai tugas unduhan berkas) yang dirancang agar tidak pernah berhenti (never terminates).
  3. Eksekusi JavaScript Latar Belakang: Begitu tertanam, penyerang dapat terus mengirimkan perintah dan mengeksekusi kode JavaScript dari jarak jauh menggunakan perangkat korban sebagai perpanjangan tangan.

🚨 Vektor Serangan yang Kian Senyap: Dalam pengujian terbaru Lyra pada versi Edge 148, menu pop-up unduhan yang sebelumnya sempat muncul sebagai indikator kini tidak lagi muncul sama sekali. Hal ini membuat eksploitasi berjalan 100% senyap (completely silent JS RCE) dan perangkat tetap konstan terhubung ke server Command-and-Control (C2) milik peretas meskipun browser telah ditutup.

Meskipun Lyra mengklarifikasi bahwa bug ini tidak sampai menjebol batas keamanan isolasi sistem (sandbox) untuk menguras berkas lokal atau email di dalam sistem operasi induk (Host OS), dampak manipulasi di level browser ini tetap sangat masif. Aktor siber dapat memanfaatkan puluhan ribu browser korban yang kompromi untuk membangun jaringan botnet raksasa guna meluncurkan serangan Distributed Denial-of-Service (DDoS), bertindak sebagai relai lalu lintas ilegal (proxying malicious traffic), hingga melakukan pengalihan trafik (traffic redirection) secara sepihak.

Daftar Browser Terdampak

Karena celah ini berada di level fondasi inti kode Chromium, seluruh ekosistem penjelajah web populer yang berdiri di atas proyek tersebut dipastikan ikut terpapar risiko bahaya:

  • Google Chrome (Terkonfirmasi masih aktif pada varian Chrome Dev 150)
  • Microsoft Edge (Terkonfirmasi masih aktif pada versi Edge 148)
  • Brave Browser
  • Opera & Vivaldi
  • Arc Browser

Kronologi Kelalaian Administrasi Jadwal Patch Google

Terdampatnya detail celah keamanan ini ke publik dipicu oleh buruknya sinkronisasi administrasi otomatis pada pelacakan bug internal Google sepanjang tahun 2024 hingga 2026:

  • Oktober 2024: Developer Google menyadari laporan Lyra masih menggantung dan melabelinya sebagai “kerentanan serius” yang wajib diprioritaskan.
  • 10 Februari 2026: Isu sempat ditandai berstatus selesai (fixed) namun langsung dibuka kembali beberapa menit kemudian karena munculnya sejumlah kendala teknis.
  • 12 Februari 2026: Demi memproses pembayaran hadiah sayembara pencari celah (Chrome Vulnerability Rewards Program), sistem secara administratif menandai isu tersebut sebagai fixed dan mengirimkan bonus kompensasi seadanya senilai $1,000 kepada Lyra, padahal kode perbaikan fisik belum pernah disuntikkan ke dalam sistem hulu.
  • 20 Mei 2026 (Hari Kebocoran): Karena sistem membaca laporan telah berstatus fixed selama lebih dari 14 minggu, sistem Chromium otomatis membuka kunci pembatasan akses (access restrictions removed). Seluruh detail percakapan dan pembuktian konsep (PoC) serangan mendadak dapat dibaca oleh publik.

Lyra yang menyadari pembukaan akses tersebut langsung melakukan pengujian mandiri pada Chrome Dev dan Microsoft Edge, hanya untuk terkejut mendapati bahwa eksploitasi tersebut nyatanya masih berfungsi sempurna di lapangan.

Status Saat Ini dan Tindakan Pengguna

Meskipun Google telah mengembalikan status laporan tersebut menjadi privat, jendela paparan data yang sempat terbuka beberapa jam dinilai sudah lebih dari cukup bagi kelompok peretas untuk menduplikasi metode serangan. Pihak Ars Technica melaporkan bahwa kebocoran ini membuat proses pembuatan modul eksploitasi menjadi “sangat mudah” bagi peretas berskala menengah.

Mengingat belum ada paket patch resmi yang digulirkan oleh Google maupun Microsoft hingga hari ini, para pengguna dan administrator sistem diimbau untuk waspada dan segera bersiap melakukan pembaruan darurat (emergency update) begitu Google merilis versi stabil Chrome terbaru dalam beberapa hari ke depan.

Tags
19 seconds ago
3 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button