Chrome tambal celah kritis di ANGLE yang berpotensi memungkinkan eksekusi kode jarak jauh; pengguna disarankan segera memperbarui ke Chrome 139.0.7258.154 atau lebih baru. Celah dengan penanda CVE-2025-9478 ini adalah use-after-free di mesin grafis ANGLE dan telah dinilai sangat serius karena dapat disalahgunakan melalui konten web berbahaya.

Ringkasan singkat

• Google merilis pembaruan stabil Chrome yang memperbaiki CVE-2025-9478, kerentanan use-after-free di ANGLE yang dapat memicu korupsi heap dan membuka peluang RCE via halaman web yang dibuat khusus.

• Penemuan dikreditkan ke agen AI internal Google “Big Sleep”, yang dirancang untuk proaktif menemukan celah sebelum dieksploitasi, dan patch dirilis cepat untuk meminimalkan risiko serangan luas.

• Versi aman yang direkomendasikan: 139.0.7258.154/.155 (Windows/macOS) dan 139.0.7258.154 (Linux); segera lakukan update via menu About Chrome lalu restart browser.

Detail kerentanan

• CVE: CVE-2025-9478 (Use-After-Free di ANGLE/Almost Native Graphics Layer Engine).

• Dampak: Potensi eksekusi kode jarak jauh melalui korupsi memori saat memproses konten WebGL/Canvas di halaman berbahaya.

• Ruang lingkup: Mempengaruhi Chrome sebelum 139.0.7258.154; ANGLE dipakai luas dalam pipeline rendering Chrome lintas platform, sehingga meningkatkan permukaan serangan.

Rekomendasi tindakan

• Perbarui Chrome ke minimal 139.0.7258.154 (Linux) atau 139.0.7258.154/.155 (Windows/macOS) dan lakukan restart agar patch aktif.

• Terapkan kebijakan pembaruan dipercepat di lingkungan korporasi dan pantau kepatuhan versi pada endpoint kritikal.

• Tetap waspada terhadap rilis rincian teknis lanjutan setelah mayoritas pengguna menerima patch, karena detail eksploit sering ditahan sementara untuk mengurangi risiko.

Catatan tentang penemuan oleh AI

• Google mengkredit “Big Sleep” sebagai penemu CVE-2025-9478; inisiatif AI ini diumumkan sebelumnya dan telah menemukan beberapa celah dunia nyata, menandai pergeseran peran AI dalam riset keamanan.

• Laporan pihak ketiga juga menyoroti bahwa temuan ini belum dilaporkan dieksploitasi secara luas saat patch dirilis, namun tingkat keparahan tetap kritis sehingga pembaruan tidak boleh ditunda.

Versi rilis

• Chrome Stable: 139.0.7258.154/.155 (Win/Mac), 139.0.7258.154 (Linux); daftar perubahan menyebut CVE-2025-9478 sebagai bug kritis dengan kredit ke Google Big Sleep.

• Sumber basis data kerentanan eksternal (NVD, vendor pihak ketiga) juga telah memasukkan entri CVE ini dengan deskripsi dampak dan versi perbaikan.

Sumber dan tautan

• Chrome Releases – Stable Channel Update for Desktop (mencantumkan CVE-2025-9478, kredit “Google Big Sleep”, versi patch).

• NVD – CVE-2025-9478 (deskripsi use-after-free di ANGLE).

• CVE Details – Ringkasan teknis dan versi terdampak/praperbaikan.

• AhnLab ASEC – Advisory versi rilis dan rekomendasi update.

• SecurityOnline.info – Artikel tentang patch Chrome untuk CVE-2025-9478 yang ditemukan AI Big Sleep.

• GBHackers – Ulasan teknis dampak UAF ANGLE dan urgensi update.

• Rapid7 – Entri database kerentanan (penilaian keparahan dan ringkasan vektor).

Tautan sumber:

• https://chromereleases.googleblog.com/2025/08/stable-channel-update-for-desktop_26.html

• https://nvd.nist.gov/vuln/detail/CVE-2025-9478

• https://www.cvedetails.com/cve/CVE-2025-9478/

• https://asec.ahnlab.com/en/89904/

• https://securityonline.info/google-chrome-patches-critical-angle-vulnerability-cve-2025-9478-discovered-by-ai-agent-big-sleep/

• https://gbhackers.com/critical-chrome-use-after-free-flaw/

• https://www.rapid7.com/db/vulnerabilities/google-chrome-cve-2025-9478/