Google kembali mendorong pengguna Chrome untuk segera memperbarui browser mereka setelah merilis Chrome 149. Pembaruan ini menutup 28 celah keamanan, termasuk lima kerentanan kritis yang berpotensi dipakai peretas untuk menjalankan kode berbahaya dari jarak jauh.
Sorotan terbesarnya ada pada jenis celah yang diperbaiki. Google menyebut sejumlah bug di komponen inti seperti Core, DigitalCredentials, WebMIDI, Accessibility, dan GPU, sehingga update ini menyentuh bagian penting yang berhubungan langsung dengan keamanan browser.
Lima celah kritis jadi perhatian utama
Dalam pengumuman resminya, Google menjelaskan bahwa lima kerentanan kritis mencakup bug use-after-free di beberapa komponen. Ada juga masalah insufficient validation of untrusted input pada fitur Accessibility serta heap buffer overflow pada komponen GPU.
Use-after-free menjadi salah satu jenis kerentanan yang paling diwaspadai. Bug seperti ini dapat dimanfaatkan untuk menjalankan kode berbahaya, merusak data, atau memicu serangan denial-of-service.
Dalam skenario yang lebih serius, celah semacam ini juga bisa membantu sandbox escape jika digabungkan dengan kelemahan lain. Artinya, serangan dapat keluar dari mekanisme perlindungan yang seharusnya membatasi akses aplikasi.
Total 28 celah ditutup di Chrome 149
Selain lima celah kritis, Google juga menambal 23 kerentanan dengan tingkat high-severity. Daftarnya mencakup sembilan bug use-after-free, empat masalah validasi input yang tidak memadai, tiga kesalahan implementasi, dua kelemahan kebijakan keamanan, dua out-of-bounds read, satu out-of-bounds write, satu race condition, dan satu heap buffer overflow.
Jika dihitung keseluruhan, update kali ini memperbaiki 12 kerentanan use-after-free. Angka itu memperlihatkan bahwa keamanan memori masih menjadi salah satu tantangan besar bagi pengembang browser modern.
Google sudah mencoba menekan risiko eksploitasi dari jenis bug ini lewat beberapa langkah teknis. Pada 2022, perusahaan memperkenalkan MiraclePtr, lalu sebagian kode Chrome juga mulai ditulis menggunakan Rust untuk mengurangi risiko kesalahan pengelolaan memori.
Belum ada bukti eksploitasi aktif
Meski jumlah celah yang ditutup cukup banyak, Google menyatakan belum menemukan bukti bahwa kerentanan di Chrome 149 sudah dieksploitasi secara aktif di dunia nyata. Namun, perusahaan tetap meminta pengguna segera memperbarui browser untuk menekan risiko serangan.
Pembaruan ini juga muncul di tengah meningkatnya jumlah bug keamanan yang ditemukan di Chrome. Sejak awal tahun, Google telah menambal lebih dari 700 bug keamanan, jumlah yang disebut lebih dari lima kali lipat dibandingkan total bug yang diperbaiki sepanjang 2025.
Dari ratusan bug itu, setidaknya lima diketahui telah dieksploitasi sebagai zero-day. Zero-day merujuk pada celah keamanan yang dimanfaatkan penyerang sebelum perbaikan resmi tersedia.
Versi terbaru mulai digulirkan bertahap
Chrome 149 tersedia sebagai versi 149.0.7827.114 dan 149.0.7827.115 untuk Windows dan macOS. Untuk Linux, versi yang dirilis adalah 149.0.7827.114.
Distribusinya dilakukan bertahap, sehingga tidak semua pengguna langsung menerima pembaruan pada saat yang sama. Karena celah yang ditambal terkait langsung dengan keamanan inti browser, pengguna disarankan segera memasang update begitu tersedia di perangkat masing-masing.