Jika Anda pengguna Chrome, saatnya waspada—baru-baru ini ditemukan bug serius yang memungkinkan peretas mencuri data pribadi Anda hanya lewat halaman web yang terlihat biasa saja. Bug ini, yang telah dikonfirmasi oleh Google dan sedang dieksploitasi secara aktif di dunia nyata, membuka celah berbahaya yang dapat dimanfaatkan untuk mencuri informasi sensitif seperti data login dan parameter penting lainnya. Masalah ini tidak hanya mengancam pengguna Chrome di desktop, tapi juga bisa berdampak pada browser berbasis Chromium lainnya seperti Microsoft Edge, Opera, dan Brave. Dalam artikel ini, akan membahas secara lengkap tentang celah keamanan CVE-2025-4664, bagaimana cara kerjanya, siapa saja yang berisiko, dan langkah konkret yang harus segera Anda lakukan agar tetap aman.
CVE-2025-4664 adalah nama kode untuk celah keamanan terbaru yang ditemukan di Google Chrome. Celah ini masuk dalam kategori high severity, artinya cukup berbahaya dan perlu segera ditangani. Masalah ini ditemukan oleh seorang peneliti keamanan bernama Vsevolod Kokorin dan dilaporkan pada awal Mei 2025. Google pun langsung merespons dengan merilis pembaruan darurat karena celah ini sudah digunakan secara aktif oleh pihak tak bertanggung jawab.
Secara teknis, bug ini berada di komponen yang disebut Loader—bagian dari browser yang bertugas memuat konten dari berbagai sumber. Masalahnya ada pada lemahnya pengawasan kebijakan (insufficient policy enforcement), yang menyebabkan Chrome bisa secara keliru membocorkan data lintas situs (cross-origin). Artinya, situs jahat bisa memanfaatkan celah ini untuk mengambil data dari situs lain yang sedang Anda buka, tanpa sepengetahuan Anda.
Dampaknya tidak main-main. Informasi yang bisa dicuri termasuk parameter dalam URL yang sering berisi data penting seperti token login atau ID sesi. Jika berhasil didapatkan, data ini bisa digunakan untuk mengambil alih akun pengguna sepenuhnya. Celah keamanan Chrome ini menjadi sangat krusial karena bisa dimanfaatkan hanya dengan mengakses halaman web yang terlihat normal, tanpa perlu interaksi lanjut dari pengguna.
Baca juga: Penjualan Data Kripto di Dark Web: Siapa Saja yang Terkena Dampaknya?
Teknik serangan yang digunakan dalam eksploitasi bug ini terbilang licik namun sangat efektif. Pelaku memanfaatkan Link header dalam permintaan sub-resource (seperti gambar) untuk menetapkan kebijakan referrer-policy yang tidak aman, seperti unsafe-url. Dengan cara ini, ketika browser memuat gambar dari situs pihak ketiga, informasi lengkap dari URL sebelumnya—termasuk query parameter—ikut terbawa dan bisa diakses oleh pelaku. Ini memungkinkan data sensitif seperti token login, ID sesi, atau parameter lainnya bocor tanpa disadari pengguna.
Serangan seperti ini sangat berbahaya karena tampak tidak mencurigakan di permukaan. Cukup dengan mengunjungi halaman web yang dirancang khusus, pengguna bisa menjadi korban pencurian data hanya karena browser secara otomatis memuat gambar dari domain tertentu. Dalam skenario terburuk, informasi yang tercuri bisa dimanfaatkan untuk account takeover, di mana pelaku mendapatkan akses penuh ke akun pengguna. Inilah alasan mengapa pencurian data lewat gambar menjadi ancaman serius yang harus segera ditanggapi oleh pengguna dan pengembang browser.
Bug CVE-2025-4664 ini memengaruhi semua pengguna Chrome yang masih menggunakan versi di bawah 136.0.7103.113. Jadi, jika Anda belum memperbarui browser Chrome Anda ke versi terbaru, ada risiko serius data pribadi Anda bisa bocor hanya karena mengunjungi halaman web tertentu. Celah ini tidak terbatas pada pengguna Chrome saja, karena browser berbasis Chromium lain seperti Microsoft Edge, Opera, Brave, dan Vivaldi juga bisa terdampak jika belum menerapkan patch keamanan terbaru. Penemuan celah ini berkat kerja keras peneliti keamanan Vsevolod Kokorin, yang mempublikasikan temuannya secara teknis melalui platform X. Ia menjelaskan bagaimana kelemahan di pengaturan referrer-policy dapat dimanipulasi untuk membocorkan data antar situs secara diam-diam.
Temuan ini langsung mendapat perhatian serius dari Google karena eksploitasinya sudah ditemukan “di alam liar” yang dapat diartikan bahwa bug tersebut tidak hanya ditemukan secara teori atau di lingkungan uji coba, tetapi sudah benar-benar dimanfaatkan oleh pelaku di dunia nyata—dalam serangan siber yang aktif terjadi. Oleh karena itu, semua pengguna Chrome dan browser berbasis Chromium sangat disarankan untuk segera melakukan pembaruan agar terhindar dari potensi pencurian data.
Celah keamanan CVE-2025-4664 bukan hanya sekadar potensi ancaman—eksploitasinya sudah benar-benar terjadi di dunia nyata. Seorang peneliti keamanan telah merilis bukti konsep (proof of concept/PoC) yang menunjukkan bagaimana bug ini bisa digunakan untuk mencuri data lintas situs secara langsung. Fakta bahwa teknik ini dapat direplikasi dan dijalankan secara praktis membuatnya sangat berbahaya, apalagi jika jatuh ke tangan pelaku kejahatan siber. Ini bukan lagi soal “kemungkinan,” tapi ancaman nyata yang bisa menimpa siapa saja yang belum memperbarui browser mereka.
Sebagai bentuk respons cepat, Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) telah memasukkan CVE-2025-4664 ke dalam daftar Known Exploited Vulnerabilities (KEV) yaitu daftar resmi yang mencatat bug yang telah terbukti dieksploitasi secara aktif. Hal ini menunjukkan tingkat urgensi yang sangat tinggi. Bahkan, CISA mewajibkan semua instansi pemerintah federal untuk menerapkan pembaruan keamanan sebelum 5 Juni 2025. Jika lembaga pemerintah saja diwajibkan untuk segera bertindak, maka pengguna individu pun seharusnya tidak menunda-nunda pembaruan Chrome mereka.
Agar terhindar dari risiko kebocoran data akibat bug CVE-2025-4664, pengguna Chrome perlu segera mengambil langkah-langkah perlindungan. Jangan menunggu hingga menjadi korban—berikut beberapa tindakan penting yang dapat Anda lakukan untuk memastikan keamanan browser dan data pribadi Anda tetap terjaga.
Langkah pertama dan paling krusial adalah segera memperbarui Chrome ke versi terbaru. Google telah merilis versi 136.0.7103.113 untuk Linux dan versi 136.0.7103.113/.114 untuk Windows dan Mac yang telah memperbaiki celah ini. Dengan memperbarui browser, Anda langsung menutup akses yang bisa dimanfaatkan oleh peretas, sekaligus memastikan sistem Anda mendapatkan fitur perlindungan terbaru.
Untuk memastikan apakah Chrome Anda sudah berada di versi yang aman, cek versi browser Anda sekarang juga. Caranya mudah: buka Chrome, klik ikon tiga titik di kanan atas, pilih Help atau Bantuan, lalu klik About Google Chrome. Di sana, Anda akan melihat apakah Chrome Anda sudah diperbarui atau sedang mengunduh versi terbaru secara otomatis.
Pengguna di berbagai sistem operasi juga harus memperhatikan versi yang mereka gunakan. Untuk pengguna Windows dan Mac, pastikan versi Anda sudah mencapai minimal 136.0.7103.113 atau .114. Sementara untuk pengguna Linux, versi aman yang direkomendasikan adalah 136.0.7103.113. Update ini biasanya dilakukan secara otomatis, namun ada baiknya dicek secara manual untuk memastikan.
Sebagai langkah tambahan, aktifkan fitur update otomatis dan pertimbangkan untuk menggunakan ekstensi keamanan tambahan seperti pemblokir skrip berbahaya atau pemindai situs web. Meskipun tidak menggantikan pentingnya update, ekstensi ini bisa memberi lapisan perlindungan tambahan saat Anda menjelajah internet.
Dengan menerapkan langkah-langkah sederhana di atas, Anda sudah selangkah lebih maju dalam menjaga keamanan data pribadi saat menggunakan Chrome. Jangan tunda untuk mengupdate Chrome Anda, perlindungan terbaik dimulai dari tindakan cepat.
Baca juga: Google Chrome Palsu Bisa Membawa Virus ValleyRAT ke Komputer Anda
Celah keamanan CVE-2025-4664 di Google Chrome bukan sekadar isu teknis biasa—bug ini memungkinkan pencurian data lintas situs dan sudah terbukti dieksploitasi secara aktif. Dengan risiko kebocoran data pribadi yang begitu nyata, penting bagi semua pengguna Chrome untuk segera mengambil tindakan. Memperbarui browser ke versi terbaru adalah langkah paling efektif dan cepat untuk menutup celah ini. Jangan anggap remeh, karena dalam dunia siber, satu klik saja bisa membuka akses ke seluruh informasi Anda. Sebagai pengguna Chrome, keamanan data Anda sepenuhnya bergantung pada aksi Anda hari ini—jangan tunda, update sekarang.