Zranitelnost CVE-2026-11645 v Chromu
Společnost Google vydala nouzové bezpečnostní aktualizace, které řeší další aktivně zneužívanou zranitelnost typu zero-day v prohlížeči Chrome. Chyba s označením CVE-2026-11645 představuje pátou zranitelnost typu zero-day pro Chrome, kterou společnost od začátku roku 2026 opravila.
Podle společnosti Google důkazy potvrzují, že zneužití zaměřené na tuto zranitelnost je již používáno v reálných útocích. Problém byl společnosti nahlášen anonymně a následně byla nasazena oprava prostřednictvím kanálu Stable Desktop.
Opravené verze jsou v současné době globálně zaváděny pro Windows (149.0.7827.102), macOS (149.0.7827.103) a Linux (149.0.7827.102). Proces aktualizace však může trvat několik dní nebo dokonce týdnů, než se dostane ke všem uživatelům Chromu.
Pro ty, kteří si aktualizace neinstalují ručně, je Chrome navržen tak, aby při dalším spuštění prohlížeče automaticky zkontroloval a použil dostupné opravy zabezpečení.
Obsah
Uvnitř CVE-2026-11645: Nebezpečná chyba motoru V8
Tato vysoce závažná zranitelnost pramení ze slabiny pro čtení a zápis mimo povolené meze v JavaScriptovém enginu V8 prohlížeče Chrome. Útočníci mohou tuto chybu zneužít prostřednictvím speciálně vytvořených HTML stránek, což potenciálně umožňuje spuštění libovolného kódu v sandboxovém prostředí prohlížeče.
Úspěšné zneužití může vést k poškození paměti, což útočníkům umožní přístup k paměti mimo zamýšlené hranice. Toto chování může odhalit citlivé informace, způsobit pády prohlížeče nebo usnadnit další škodlivé aktivity.
Kromě neoprávněného přístupu do paměti by tato zranitelnost mohla být také zneužita k obcházení bezpečnostních opatření, jako je randomizace rozvržení adresního prostoru (ASLR), což v kombinaci s dalšími slabinami zvyšuje pravděpodobnost spuštění kódu.
Omezené zveřejnění pro ochranu uživatelů
Ačkoli Google uznal aktivní zneužívání této zranitelnosti, společnost zatím nezveřejnila technické podrobnosti týkající se útoků. Přístup k informacím o chybách a souvisejícím zdrojům může zůstat omezený, dokud si významná část uživatelů Chromu nenainstaluje bezpečnostní aktualizaci.
Omezení mohou pokračovat i v případě, že dotčený kód existuje v knihovnách třetích stran, které používají jiné projekty a dosud neimplementovaly vlastní opravy.
Rostoucí seznam zero-day hrozeb v roce 2026
CVE-2026-11645 se připojuje k několika dalším zero-day útokům v Chromu, které byly letos aktivně zneužity:
- CVE-2026-2441 – Zranitelnost umožňující zneplatnění iterátoru v CSSFontFeatureValuesMap, opravena v únoru.
- CVE-2026-3909 – Chyba umožňující zápis mimo povolený rozsah v grafické knihovně Skia 2D, zneužitá v březnu.
- CVE-2026-3910 – Zranitelnost zahrnující nevhodnou implementaci ovlivňující JavaScriptový a WebAssembly engine V8, která byla zneužita i v březnu.
- CVE-2026-5281 – Zranitelnost typu „použij po uvolnění“ v Dawn, multiplatformní implementaci WebGPU v prohlížeči Chromium, opravená v dubnu.
Chrome pokračuje v boji proti zero-day exploitům
Nejnovější nouzová aktualizace upozorňuje na přetrvávající hrozbu, kterou představují zranitelnosti typu „zero-day“ zaměřené na moderní webové prohlížeče. Během roku 2025 společnost Google řešila osm dalších zranitelností typu „zero-day“ v prohlížeči Chrome, které byly zneužity v reálném čase. Několik z těchto zranitelností identifikovala skupina Google Threat Analysis Group (TAG), specializovaný tým známý sledováním sofistikovaných kybernetických špionážních operací a spyware kampaní.
Neustálé odhalování aktivně zneužívaných chyb podtrhuje důležitost včasných aktualizací prohlížečů a rychlé nápravy zranitelností při ochraně uživatelů před vyvíjejícími se kybernetickými hrozbami.
