CISA Peringatkan Celah Zero-Day di Google Chromium

Cybersecurity and Infrastructure Security Agency (CISA) mengeluarkan peringatan terkait celah keamanan zero-day kritis yang ditemukan pada Google Chromium. Kerentanan ini diketahui telah dieksploitasi dalam serangan siber dan kini masuk ke dalam daftar Known Exploited Vulnerabilities (KEV) milik CISA.

Celah keamanan tersebut tercatat dengan kode CVE-2025-14174 dan berada di komponen grafis ANGLE (Almost Native Graphics Layer Engine) milik Chromium. ANGLE merupakan lapisan antarmuka yang memungkinkan browser berbasis Chromium menjalankan grafis OpenGL ES di berbagai platform. Komponen ini digunakan secara luas oleh browser populer seperti Google Chrome, Microsoft Edge, dan Opera.

Menurut CISA, kerentanan ini memungkinkan penyerang jarak jauh memicu out-of-bounds memory access hanya dengan memanfaatkan halaman HTML berbahaya. Jika berhasil dieksploitasi, kondisi tersebut dapat membuka peluang bagi pelaku untuk menjalankan kode berbahaya di sistem korban tanpa izin.

Meski baru ditemukan dan ditambal dalam hitungan hari, keberadaan celah ini kembali menunjukkan bahwa browser berbasis Chromium masih menjadi target utama serangan siber. Hal ini tidak lepas dari dominasinya di pasar global, dengan pangsa penggunaan mencapai lebih dari 70 persen browser desktop di dunia.

CISA menjelaskan bahwa celah ini berpotensi dimanfaatkan dalam berbagai skenario serangan. Mulai dari drive-by download, di mana korban terinfeksi hanya dengan mengunjungi situs tertentu, hingga pencurian data sensitif. Bahkan, dalam skenario terburuk, kerentanan semacam ini dapat dijadikan pintu masuk untuk penyebaran malware atau ransomware. Namun demikian, hingga saat ini CISA menyatakan belum menemukan bukti langsung yang mengaitkan CVE-2025-14174 dengan serangan ransomware tertentu.

Sebagai langkah mitigasi, CISA mewajibkan seluruh lembaga federal di Amerika Serikat untuk segera menerapkan pembaruan keamanan paling lambat 2 Januari 2026. Jika tidak, instansi tersebut diminta untuk menghentikan penggunaan produk yang terdampak. Kebijakan ini sejalan dengan Binding Operational Directive (BOD) 22-01, yang mengatur penanganan kerentanan yang telah dieksploitasi secara aktif.

Dari sisi teknis, CVE-2025-14174 muncul akibat pemeriksaan batas memori yang tidak memadai di komponen ANGLE. Kesalahan ini dapat menyebabkan korupsi memori saat browser memproses atau merender grafis dari halaman web tertentu. Dalam kondisi tertentu, eksploitasi ini bahkan disebut mampu melewati perlindungan sandbox browser, yang selama ini menjadi lapisan keamanan utama untuk membatasi dampak serangan.

National Vulnerability Database (NVD) menilai kerentanan ini memiliki tingkat keparahan tinggi, dengan skor CVSS v3.1 sebesar 8,8. Skor tersebut mencerminkan potensi risiko eksekusi kode jarak jauh yang cukup serius, terutama jika dimanfaatkan secara massal.

Adapun versi browser yang terdampak adalah Chromium di bawah versi 131.0.6778.200. Google telah merilis pembaruan keamanan di kanal Stable pada 10 Desember, dengan menaikkan versi Chrome menjadi 131.0.6778.201. Microsoft juga telah menambal celah serupa pada Edge melalui pembaruan ke versi 131.0.3139.95. Sementara itu, pengguna browser lain berbasis Chromium, seperti Opera, disarankan untuk memeriksa pembaruan melalui kanal resmi masing-masing.

Google dalam catatan rilisnya mengingatkan bahwa pengguna perlu menutup dan membuka kembali browser setelah pembaruan agar perbaikan keamanan dapat diterapkan secara optimal.

Hingga kini, belum ada Indicators of Compromise (IoC) yang dipublikasikan ke publik. Namun, para pakar keamanan menilai pelaku ancaman berpotensi mengombinasikan celah ini dengan teknik lain seperti phishing atau iklan berbahaya (malvertising) untuk meningkatkan peluang keberhasilan serangan.

Melihat tren meningkatnya eksploitasi celah zero-day secara global, CISA dan para peneliti keamanan mengimbau organisasi maupun pengguna individu untuk tidak menunda pembaruan browser. Mengaktifkan pembaruan otomatis, memantau perilaku tidak normal pada aplikasi, serta menerapkan kebijakan keamanan yang ketat dinilai menjadi langkah penting untuk meminimalkan risiko serangan siber ke depan.