Penjelasan teknis
Kerentanan out-of-bounds read dan write di V8, mesin JavaScript dan WebAssembly Chrome, memungkinkan penyerang jarak jauh menjalankan kode arbitrer di dalam sandbox browser melalui halaman HTML yang dirancang khusus. Google mengonfirmasi eksploitasi aktif dan mengirimkan patch dalam Chrome 149.0.7827.102/103. CISA menambahkan CVE ke katalog KEV-nya pada 9 Juni 2026. Kerentanan V8 menjadi perhatian khusus untuk lingkungan terkait AI karena antarmuka LLM berbasis browser, inferensi model WebGPU, dan agen AI coding berbasis Electron (Cursor, Claude Code desktop) semuanya berjalan di atas Chromium/V8.
Vektor serangan
Korban mengunjungi webpage yang dikontrol atau dikompromikan penyerang; JavaScript yang dirancang khusus memicu akses memori out-of-bounds di V8, mencapai eksekusi kode di dalam sandbox renderer Chrome. Aktor ancaman kemungkinan berantai dengan escape sandbox untuk kompromi perangkat penuh.
Sistem yang terdampak
Google Chrome sebelum versi 149.0.7827.103 di Windows/macOS dan 149.0.7827.102 di Linux; juga Microsoft Edge, Brave, Opera, Vivaldi, dan browser berbasis Chromium atau aplikasi Electron apa pun yang belum menerima pembaruan — termasuk agen AI coding yang dibangun di atas Electron.
Mitigasi
Perbarui Chrome ke 149.0.7827.102/.103 segera; jangan menunggu auto-update. Tim enterprise harus mendorong pembaruan melalui kebijakan dan memverifikasi proses yang berjalan telah dimulai ulang. Tools AI coding berbasis Electron (Cursor, aplikasi desktop Claude Code, VS Code) mempertahankan build Chromium mereka sendiri dan harus diperbarui secara independen — periksa catatan rilis masing-masing vendor.