Google telah mengeluarkan kemas kini keselamatan kecemasan untuk Chrome selepas menemui kelemahan zero-day kritikal yang sedang dieksploitasi secara aktif oleh penjenayah siber dalam serangan dunia sebenar. Kumpulan Threat Analysis Group syarikat itu mengenal pasti kelemahan tersebut pada akhir bulan Mei, mendorong tindak balas segera untuk melindungi berjuta-juta pengguna di seluruh dunia.
Kelemahan Enjin V8 Kritikal Menimbulkan Risiko Serius
Kelemahan yang baru ditemui ini, yang ditetapkan sebagai CVE-2025-5419, menyasarkan enjin JavaScript V8 Chrome dengan kelemahan out-of-bounds read-and-write. Kelemahan keselamatan ini membolehkan penyerang jauh mengeksploitasi rasuah heap melalui halaman HTML yang direka khas. Kelemahan ini membawa skor keterukan tinggi 8.8, mencerminkan potensinya untuk kerosakan yang ketara.
Penjenayah siber boleh memanfaatkan kelemahan ini dengan mencipta laman web berniat jahat yang melaksanakan kod sewenang-wenangnya pada sistem pelawat. Setelah dieksploitasi, kelemahan ini boleh membawa kepada kompromi sistem yang lengkap, kecurian data sensitif, atau penggunaan perisian hasad tambahan. Penggunaan meluas enjin V8 dalam Chrome, Node.js, dan aplikasi web popular seperti Google Docs dan Gmail menjadikan kelemahan ini amat membimbangkan.
Butiran Kelemahan
- ID CVE: CVE-2025-5419
- Skor Keterukan: 8.8 (Tinggi)
- Jenis: Kelemahan bacaan dan penulisan luar sempadan
- Komponen Terjejas: Enjin JavaScript V8
- Tarikh Penemuan: 27 Mei 2025
- Status: Dieksploitasi secara aktif dalam keadaan sebenar
Garis Masa Penemuan dan Tindak Balas
Penyelidik keselamatan Clement Lecigne dan Benoît Sevens dari Kumpulan Threat Analysis Group Google menemui dan melaporkan kelemahan tersebut pada 27 Mei 2025. Google bertindak pantas, menolak perubahan konfigurasi kepada versi stabil Chrome hanya sehari selepas penemuan. Syarikat itu kemudiannya mengeluarkan kemas kini saluran stabil yang komprehensif pada hari Isnin, menangani bukan sahaja zero-day tetapi juga dua isu keselamatan tambahan.
Google telah mengesahkan bahawa penyerang sedang mengeksploitasi kelemahan ini secara aktif dalam keadaan sebenar tetapi sengaja menahan butiran khusus tentang kaedah serangan dan pelaku. Pendekatan berhati-hati ini bertujuan untuk menghalang pelakon berniat jahat lain daripada memanfaatkan pepijat tersebut sementara pengguna Chrome menggunakan tampung keselamatan yang diperlukan.
Garis Masa Zero-Day Chrome 2025
- Mac 2025: Zero-day pertama - membolehkan penyebaran perisian hasad dalam serangan pengintipan
- Mei 2025: Zero-day kedua - membenarkan pengambilalihan akaun
- Jun 2025: Zero-day ketiga ( CVE-2025-5419 ) - kelemahan enjin V8
Maklumat Kemas Kini Penting untuk Pengguna
Pengguna Chrome mesti segera mengemas kini kepada versi 137.0.7151.68 atau 137.0.7151.69 untuk sistem Windows dan macOS, atau versi 137.0.7151.68 untuk pengedaran Linux. Walaupun Chrome biasanya mengemas kini secara automatik selepas pelayar dimulakan semula, pengguna harus mengesahkan versi mereka secara manual untuk memastikan perlindungan.
Untuk memeriksa kemas kini, pengguna boleh menavigasi ke menu Chrome, pilih Help, kemudian About Google Chrome. Jika kemas kini tersedia, pengguna harus membenarkan pemasangan selesai dan melancarkan semula pelayar mereka dengan segera. Proses pengesahan manual ini adalah penting memandangkan eksploitasi aktif kelemahan tersebut.
Versi Chrome yang Diperlukan
- Windows: 137.0.7151.68 atau 137.0.7151.69
- macOS: 137.0.7151.68 atau 137.0.7151.69
- Linux: 137.0.7151.68
Corak Serangan Zero-Day Chrome yang Semakin Meningkat
Insiden keselamatan terkini ini menandakan kelemahan zero-day Chrome ketiga yang ditemui pada 2025, selepas tampung kecemasan sebelumnya dikeluarkan pada bulan Mac dan Mei. Kelemahan terdahulu membolehkan penggunaan perisian hasad dalam kempen pengintipan dan memudahkan serangan pengambilalihan akaun, masing-masing. Corak ini mewakili trend yang membimbangkan, terutamanya memandangkan Google menangani sepuluh kelemahan zero-day dalam Chrome sepanjang 2024.
Kekerapan isu keselamatan kritikal ini menyerlahkan cabaran berterusan yang dihadapi pembangun pelayar dalam mengekalkan keselamatan terhadap pelakon ancaman yang canggih. Pengguna mesti sentiasa berwaspada tentang menggunakan kemas kini keselamatan dengan segera untuk melindungi diri mereka daripada ancaman baru muncul yang menyasarkan pelayar web.