Přejít na hlavní obsah
CIAD

Google vydal nouzovou záplatu pro Chrome: chyba umožňuje převzetí počítače

Kritická bezpečnostní chyba v Chrome je aktivně zneužívána. Záplata dostupná od 8. června 2026, aktualizujte okamžitě.

Google 8. června 2026 vydal mimořádnou bezpečnostní záplatu pro prohlížeč Chrome poté, co potvrdil, že kritická chyba označená CVE-2026-11645 je aktivně zneužívána v reálném světě. Jde o pátý tzv. zero-day (zranitelnost, pro kterou neexistovala záplata v okamžiku jejího zneužití) v Chromu odhalený v průběhu roku 2026. To ukazuje, že útočníci do hledání slabin nejrozšířenějšího webového prohlížeče na světě systematicky investují.

Co se stalo a proč je to závažné

Chyba se nachází ve V8, části Chromu, která spouští JavaScript, tedy kód, na němž stojí naprostá většina moderních webových stránek. Odborně se jedná o tzv. out-of-bounds read/write, tedy čtení a zápis dat na místech paměti, kam by program neměl sahat. Hodnocení závažnosti CVSS 8.8 z 10 ji řadí do kategorie “vysoká závažnost”.

Útočníkovi stačí přimět oběť k návštěvě speciálně připravené webové stránky nebo kliknutí na škodlivý odkaz. Výsledkem je spuštění libovolného kódu v sandboxu prohlížeče. Sandbox je izolované prostředí, které má omezit škody způsobené škodlivým kódem, ale ani tato ochrana není nepřekonatelná, zvláště pokud je zranitelnost kombinována s dalšími technikami.

Chrome celosvětově používá přibližně 65 % uživatelů internetu. Aktivní zneužívání zero-day chyb v prohlížečích je typickým nástrojem cílených útoků na firmy, phishingových kampaní i hromadných infekcí. Záplata je dostupná ve verzích Chrome 149.0.7827.102 a 149.0.7827.103. Google záměrně nezveřejnil technické podrobnosti zneužití, aby omezil kopírování útočných technik dříve, než si většina uživatelů záplatu stáhne.

Kdo chybu odhalil a co podnikl stát

Zranitelnost nahlásil anonymní bezpečnostní výzkumník 27. dubna 2026. Google mu za nález v rámci programu bug bounty (odměna za nalezení chyby) vyplatil 55 000 USD. Americká agentura CISA (vládní úřad pro kybernetickou bezpečnost) zařadila CVE-2026-11645 do svého katalogu známých zneužívaných zranitelností 9. června 2026 a federálním agenturám uložila povinnost záplatu aplikovat.

Co to znamená pro firmy v ČR a EU

Zranitelnost zasahuje jak desktopové, tak mobilní verze Chromu. Chromium, základ, na němž jsou postaveny také Microsoft Edge, Brave a další prohlížeče, může být dotčen rovněž, přestože záplaty pro tyto odvozené prohlížeče přicházejí s různým zpožděním.

Doporučení

  • Aktualizujte Chrome na verzi 149.0.7827.102 nebo novější bezodkladně, nejpozději do 24 hodin od přečtení tohoto článku.
  • Ověřte aktualizaci i u prohlížečů odvozených od Chromia (Edge, Brave, Opera) a sledujte jejich vydání záplat.
  • Zvažte dočasné omezení nebo monitoring přístupu k neověřeným externím webům v prostředích s vyšší citlivostí dat.
  • Informujte uživatele o riziku škodlivých webových stránek a phishingových odkazů po dobu, kdy záplata ještě není plošně nasazena.
  • Nasaďte pravidla na úrovni EDR nebo proxy detekující neobvyklé chování procesů prohlížeče jako indikátor potenciálního zneužití. EDR (Endpoint Detection and Response) je bezpečnostní software sledující aktivitu na zařízeních.

Zdroje:

Tento přehled sestavil automatizovaný redakční systém CIAD z veřejně dostupných zdrojů, ověřil fakta vůči více nezávislým zdrojům a uvedl je níže. Redakční odpovědnost nese CIAD. Nepřesnost nahlaste na office@ciad.cz.

← Zpět na blog