Google merilis pembaruan keamanan mendesak untuk peramban Chrome guna menambal kerentanan tingkat tinggi (high-severity) yang dapat membahayakan jutaan aplikasi. Pembaruan ini hadir dalam versi 143.0.7499.192/.193 untuk Windows dan Mac, serta 143.0.7499.192 untuk Linux.

Fokus utama pembaruan ini adalah menutup celah keamanan yang teridentifikasi sebagai CVE-2026-0628. Kerentanan ini bukan menyerang antarmuka peramban biasa, melainkan komponen WebView tag—elemen krusial yang memungkinkan aplikasi pihak ketiga menampilkan konten web di dalam antarmuka mereka tanpa perlu membuka aplikasi browser penuh.

WebView adalah komponen vital dalam ekosistem pengembangan aplikasi modern, sering digunakan dalam aplikasi hybrid untuk memuat halaman web internal.

• Inti Masalah: CVE-2026-0628 berakar pada "penegakan kebijakan yang tidak memadai" (insufficient policy enforcement) pada tag WebView.
• Vektor Serangan: Celah ini memungkinkan penyerang untuk mem-bypass kontrol keamanan yang seharusnya membatasi interaksi antara konten web dan aplikasi inang.
• Dampak Fatal: Jika dieksploitasi, peretas dapat memperoleh akses tidak sah, memicu kebocoran data sensitif dari dalam aplikasi, atau bahkan mengeksekusi kode berbahaya (malicious code) pada perangkat pengguna melalui aplikasi yang menggunakan komponen WebView yang rentan tersebut.

Sesuai dengan praktik pengungkapan yang bertanggung jawab (responsible disclosure), Google saat ini membatasi detail teknis mendalam mengenai bug ini. Langkah ini diambil untuk mencegah aktor jahat mengembangkan eksploitasi sebelum mayoritas pengguna dan organisasi sempat melakukan pembaruan sistem.

Baca Juga: Analisis Kerentanan Kritis 2026: 10 Celah Keamanan Paling Mematikan yang Mengancam Infrastruktur Global

Google juga menegaskan komitmennya terhadap keamanan kolaboratif dengan memberikan penghargaan kepada peneliti eksternal yang menemukan celah ini, serta terus memanfaatkan metodologi deteksi internal canggih seperti AddressSanitizer dan Control Flow Integrity untuk meminimalisir bug serupa di masa depan.

Insiden CVE-2026-0628 ini menyoroti risiko tersembunyi dalam arsitektur aplikasi modern yang sangat bergantung pada komponen web tertanam (embedded web components). Bagi perusahaan, ini bukan sekadar masalah memperbarui browser di laptop karyawan, tetapi juga peringatan bagi tim pengembang aplikasi korporat yang menggunakan arsitektur Hybrid atau Web-wrapper. Kerentanan pada WebView berarti pintu belakang menuju data aplikasi kini terbuka lebar jika komponen dasarnya tidak diperbarui.

Berdasarkan evaluasi keamanan aplikasi (Mobile App Security Testing) yang rutin tim Fourtrezz lakukan pada berbagai klien korporasi, terlihat pola yang mengkhawatirkan di mana banyak pengembang aplikasi menganggap komponen WebView sebagai "kotak hitam" yang aman secara default. Kami sering menemukan implementasi WebView yang terlalu permisif, mengizinkan eksekusi JavaScript tanpa filter yang memadai. Celah Google ini memperburuk keadaan tersebut. Oleh karena itu, kami melihat urgensi bagi perusahaan untuk tidak hanya melakukan patching, tetapi juga meninjau ulang arsitektur aplikasi mereka, memastikan bahwa interaksi antara WebView dan native code dibatasi hanya pada fungsi yang esensial (prinsip Least Privilege).

Lebih jauh, interaksi intensif kami dengan para CTO dan manajer IT perusahaan menekankan pentingnya validasi ekosistem pihak ketiga. Banyak aplikasi perusahaan dibangun menggunakan kerangka kerja (framework) yang membungkus WebView. Melalui layanan konsultasi strategi keamanan, Fourtrezz mendorong organisasi untuk memvalidasi apakah vendor pengembang aplikasi Anda responsif terhadap isu ini. Memastikan bahwa mitra teknologi Anda segera memperbarui library yang terdampak dan merilis versi aplikasi yang aman adalah langkah krusial untuk mencegah kebocoran data nasabah atau karyawan melalui celah yang sebenarnya sudah ada obatnya.