Penjelasan teknis
Kerentanan out-of-bounds read dan write di V8, mesin JavaScript dan WebAssembly Chrome, memungkinkan penyerang jarak jauh untuk menjalankan kode arbitrer di dalam sandbox browser melalui halaman HTML yang dirancang khusus. Google mengonfirmasi eksploitasi aktif dan mengirimkan patch di Chrome 149.0.7827.102/103. CISA menambahkan CVE ke katalog KEV-nya pada 9 Juni 2026. Kerentanan V8 menjadi perhatian khusus untuk lingkungan yang berdekatan dengan AI karena antarmuka LLM berbasis browser, inferensi model WebGPU, dan agen coding AI berbasis Electron (Cursor, Claude Code desktop) semuanya berjalan di atas Chromium/V8.
Vektor serangan
Korban mengunjungi halaman web yang dikontrol atau dikompromikan penyerang; JavaScript yang dirancang khusus memicu akses memori out-of-bounds di V8, mencapai eksekusi kode di dalam sandbox renderer Chrome. Aktor ancaman kemungkinan merantai dengan sandbox escape untuk kompromi perangkat penuh.
Sistem yang terdampak
Google Chrome sebelum versi 149.0.7827.103 di Windows/macOS dan 149.0.7827.102 di Linux; juga Microsoft Edge, Brave, Opera, Vivaldi, dan browser berbasis Chromium atau aplikasi Electron apa pun yang belum menerima pembaruan — termasuk agen coding AI yang dibangun di atas Electron.
Mitigasi
Perbarui Chrome ke 149.0.7827.102/.103 segera; jangan menunggu auto-update. Tim enterprise harus mendorong pembaruan melalui kebijakan dan memverifikasi proses yang berjalan telah dimulai ulang. Alat coding AI berbasis Electron (Cursor, aplikasi desktop Claude Code, VS Code) mempertahankan build Chromium mereka sendiri dan harus diperbarui secara independen — periksa catatan rilis setiap vendor.