Útočníci byli rychlejší než záplata: Chrome opět pod palbou
Chyby typu zero-day jsou noční můrou všech expertů z oblasti počítačové bezpečnosti a poskytovatelů softwaru. Jde o zranitelnosti, o kterých se neví až do chvíle, kdy se objeví kód, který je úspěšně zneužívá (exploit). Pak následuje usilovné záplatování, aby škody byly co nejmenší.
Právě to nyní řešil Google v případě chyby, která byla katalogizována pod označením CVE-2026-11645. Je hodnocena jako vysoce závažná. Nachází se v jádře V8 JavaScriptu a souvisí s chybou při čtení a zápisu dat mimo vyhrazenou oblast paměti. Útočník ji může zneužít prostřednictvím speciálně upravené webové stránky a následně spustit vlastní kód v sandboxovém prostředí prohlížeče.
V bezpečnostním oznámení zveřejněném v pondělí Google uvedl, že má potvrzené informace o tom, že zranitelnost již byla zneužívána při reálných útocích.
Oprava je dostupná pro uživatele stabilní verze Chromu na systémech Windows a macOS (149.0.7827.102/.103), a Linux (149.0.7827.102). Aktualizace byla vydána přibližně dva týdny poté, co na problém upozornil anonymní bezpečnostní výzkumník.
Zdroj: Google Chrome
Zneužití chyby otevírá cestu k citlivým datům i dalším útokům: Urychleně aktualizujte
Úspěšné zneužití může vést k přístupu k citlivým datům v paměti, poškození dat nebo pádu aplikace. Zranitelnost navíc může pomoci obejít některé bezpečnostní mechanismy, například ASLR (náhodné rozvržení adresace paměti), a usnadnit tak následné spuštění škodlivého kódu pomocí dalších chyb.
Google zatím nezveřejnil podrobnosti o útocích, při kterých byla tato chyba využívána. Společnost tradičně omezuje přístup k technickým detailům do doby, než si většina uživatelů nainstaluje opravu. Stejný postup volí i v případech, kdy se zranitelnost nachází v knihovnách využívaných také jinými projekty, které ještě opravu nevydaly.
Mohlo by vás zajímat
Google chrání detaily, aby omezil další zneužití
Zástupci Googlu upozorňují, že doručování aktualizace může trvat několik dní až týdnů, než se dostane ke všem uživatelům. Při ruční kontrole však byla aktualizace dostupná okamžitě (přinejmenším pro 64bitovou verzi pro Windows). Pokud si z jakéhokoliv důvodu nechcete aktualizaci instalovat sami, Chrome ji zpravidla stáhne a nainstaluje automaticky při příštím spuštění prohlížeče.
Pokud se zajímáte o oblast počítačové bezpečnosti, tak pro vás doplňujeme, že od začátku letošního roku Google opravil kromě výše uvedené chyby ještě čtyři další zero-day zranitelnosti. Všechny již byly aktivně zneužívané při útocích:
- CVE-2026-2441 – chyba v CSSFontFeatureValuesMap. To je rozhraní v internetovém prohlížeči, které JavaScriptu umožňuje číst a upravovat speciální typografické vlastnosti fontů (opravena v polovině února).
- CVE-2026-3909 – chyba typu „out-of-bounds write“ (program zapisuje data mimo vyhrazenou oblast v paměti) v grafické knihovně Skia.
- CVE-2026-3910 – zranitelnost související s implementací enginu V8 a WebAssembly.
- CVE-2026-5281 – chyba typu use-after-free v projektu Dawn (prohlížeč omylem dál sahá na část paměti, kterou už předtím uvolnil a měl přestat používat), který slouží jako implementace standardu WebGPU pro Chromium.
Řadu chyb odhaluje tým Threat Analysis Group (TAG), který se specializuje na sledování pokročilých kybernetických hrozeb a spyware kampaní. S Googlem ale spolupracují i externí odborníci, kteří na chyby také upozorňují.
Zdroj: Bleeping Computer, Google Blog
16 foto
