Pokud používáte Google Chrome na počítači nebo mobilu, měli byste zpozornět. Google v těchto dnech spustil distribuci zásadní aktualizace na verzi 149. Ta sice opravuje celkem 74 bezpečnostních nedostatků, ale jeden z nich představuje extrémní riziko. Jde o takzvanou zero-day zranitelnost, což v překladu znamená, že útočníci o chybě věděli dříve než vývojáři a v tuto chvíli ji již aktivně zneužívají na internetu k útokům na běžné uživatele.
Co přesně hrozí? Stačí navštívit podvodný web
Kritická zranitelnost je evidována pod označením CVE-2026-11645 a týká se samotného srdce prohlížeče – JavaScriptového enginu V8, který se stará o rychlé načítání moderních webových aplikací. Podle informací z Národní databáze zranitelností (NVD) spočívá problém v Google Chrome v takzvaném „out-of-bounds“ přístupu do paměti.
V praxi to znamená, že útočníkům stačí nalákat nicnetušícího uživatele na speciálně upravenou, škodlivou HTML stránku. Jakmile ji Chrome načte, dojde k poškození paměti (heap corruption). Útočník tak může obejít vestavěný bezpečnostní sandbox prohlížeče i ochranné mechanismy operačního systému (jako je ASLR) a spustit na vašem zařízení libovolný škodlivý kód. Výsledkem může být kompletní napadení systému, krádež dat nebo totální kolaps prohlížeče.
Víte, že? Bezpečnostní mechanismus ASLR (Address Space Layout Randomization) náhodně mění uspořádání klíčových datových oblastí v paměti, aby hackerům ztížil zacílení útoku. Nová chyba v Chrome však tuto obranu dokáže prolomit.
Fotogalerie
Lovec chyb si přišel na pohádkovou odměnu
Na zranitelnost upozornil nezávislý bezpečnostní analytik, který na internetu vystupuje pod přezdívkou „303f06e3“. Ten chybu zodpovědně nahlásil Googlu už koncem dubna. V rámci programu Bug Bounty mu technologický gigant vyplatil masivní odměnu ve výši 55 000 dolarů (v přepočtu zhruba 1,2 milionu korun).
Google z pochopitelných důvodů zatím úmyslně tají podrobné technické detaily o tom, jak přesně exploit funguje. Čeká se, až si novou verzi 149 nainstaluje dostatečné množství uživatelů po celém světě. Tímto embargem se brání tomu, aby návod převzaly další skupiny hackerů a nezačaly ho masově zneužívat.
Letos jde už o pátou závažnou zero-day zranitelnost, kterou musel Google narychlo v Chrome záplatovat (předcházely jí incidenty označené jako CVE-2026-2441 či CVE-2026-5281). To jasně ukazuje, že webové prohlížeče jsou v současnosti primárním terčem kyberzločinců.
Pozor i na ostatní prohlížeče
Protože většina populárních prohlížečů využívá stejné jádro Chromium, měli by zpozornět i uživatelé programů jako je Microsoft Edge, Brave, Opera nebo Vivaldi. Vývojáři těchto aplikací budou muset v nejbližších hodinách vydat své vlastní bezpečnostní záplaty.
Jak se okamžitě zabezpečit a nečekat ve frontě?
Nová bezpečná sestavení nesou pro Windows a Mac označení 149.0.7827.102/.103, pro Linux a Android pak verzi 149.0.7827.102.
Chrome sice stahuje aktualizace automaticky na pozadí, ale kvůli postupnému vlnovému uvolňování (rolling release) může trvat dny až týdny, než dorazí právě k vám. Vzhledem k tomu, že útoky v reálném světě již probíhají, se vyplatí instalaci vynutit ručně.
Návod pro rychlou ruční aktualizaci (PC a Mac):
- Otevřete prohlížeč Google Chrome.
- V pravém horním rohu klikněte na ikonu tří teček (Menu).
- Najeďte myší na položku Nápověda a klikněte na O aplikaci Google Chrome.
- Prohlížeč okamžitě kontaktuje servery Googlu, zkontroluje dostupnost a update sám stáhne.
- Klíčový krok: Jakmile se proces dokončí, klikněte na tlačítko Restartovat. Bez restartu prohlížeče se nová bezpečnostní vrstva neaktivuje!
U mobilních telefonů s Androidem a iOS stačí zamířit do příslušného obchodu s aplikacemi (Google Play / App Store) a v sekci aktualizací zkontrolovat, zda nemáte pro Chrome dostupnou novou verzi.
