Google tidak sengaja memublikasikan kode eksploitasi untuk kerentanan yang belum diperbaiki pada basis kode peramban Chromium di Chromium Issue Tracker pada Senin, 20 Mei 2026. Kegagalan sistem ini mengancam jutaan pengguna Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi, dan Arc karena memungkinkan situs web berbahaya menyusupkan jaringan botnet tanpa interaksi pengguna.
Celah keamanan ini memanfaatkan Browser Fetch, sebuah standar pemrograman web untuk mengunduh berkas besar di latar belakang. Peneliti keamanan independen Lyra Rebane menemukan masalah ini dan telah melaporkannya secara rahasia kepada Google sejak akhir tahun 2022. Meskipun diklasifikasikan sebagai kerentanan serius dengan prioritas tinggi, kesalahan penutupan tiket bug otomatis membuat seluruh pembatasan akses terbuka sehingga detail enkripsi bocor ke publik sebelum perbaikan diluncurkan.
Eksploitasi ini bekerja dengan membuka service worker yang terus aktif melalui JavaScript di situs berbahaya. Dampaknya, peramban korban dapat dikendalikan dari jarak jauh sebagai proksi anonim untuk meluncurkan serangan distributed denial-of-service (DDoS) atau memantau sebagian aktivitas penjelajahan. Pada peramban Microsoft Edge, koneksi berbahaya tersebut bahkan tetap berjalan senyap setelah tab, peramban, atau perangkat komputer dimulai ulang.
Lyra Rebane memaparkan bahwa pembuatan botnet berskala kecil sangat mungkin terjadi karena pengguna tidak akan menyadari adanya eksekusi kode di perangkat mereka.
"It's realistic to get tens of thousands of pageviews for creating a 'botnet', and people won't be aware that JavaScript can be remotely executed on their device," kata Rebane, peneliti keamanan independen dalam laporan bug orisinalnya.
Pihak pengembang internal Google sempat menilai temuan ini sebagai kerentanan serius tingkat P1 atau S2. Penundaan perbaikan selama puluhan bulan diduga terjadi karena celah ini berada di area abu-abu yang tidak langsung menembus batas keamanan utama seperti pencurian kata sandi atau email.
Rebane menduga lambatnya respons Google disebabkan karena eksploitasi ini tidak melewati batas keamanan yang ditentukan untuk mengakses data pribadi sistem operasi.
"I think what happened is sort of nonstandard in that it does not get past any defined security boundaries," ujar Rebane dalam wawancara bersama Ars Technica.
Pernyataan tersebut dipertegas kembali oleh Rebane setelah menyadari bahwa kode eksploitasi yang bocor justru bekerja lebih senyap pada pembaruan peramban Edge terbaru.
"The dangerous part here is that you can just have a lot of different browsers together that you can in the future run something on that you figure out," tambah Rebane.
Hingga saat ini, belum ada perbaikan resmi yang dirilis untuk pengguna publik, meskipun Google menyatakan telah mengetahui kebocoran kode tersebut dan sedang mempercepat pembuatan tambalan darurat. Pengguna diimbau untuk waspada jika melihat jendela pop-up unduhan yang muncul tanpa sebab di peramban mereka.
