Aktualizujte Windows, než bude pozdě. Microsoft potvrdil dvě díry v Defenderu, které už hackeři zneužívají

Microsoft a americká agentura CISA evidují dvě aktivně využívané chyby přímo v komponentách Windows Defenderu.

Zdroj fotografie: Zmáčknutý / Creative Commons / CC BY

Nejde o teoretický problém ani o preventivní varování. Obě chyby, označené jako CVE-2026-41091 a CVE-2026-45498, byly 20. května 2026 zařazeny do katalogu Known Exploited Vulnerabilities (KEV), což znamená jediné: někdo je už v praxi zneužívá. A klíčové je, že záplata nepřichází klasickým „velkým updatem Windows“. Jde o aktualizaci samotného Defender enginu a platformy, která může dorazit na pozadí, nebo taky vůbec, pokud máte aktualizace blokované či zpožděné. Hlavní otázka proto nezní „mám aktualizovaný počítač?“, ale „aktualizoval se mi Defender opravdu sám?“

Co přesně hackeři zneužívají

První zranitelnost, CVE-2026-41091, se týká Malware Protection Engine, tedy jádra, která skenuje soubory a procesy. Chyba spočívá v nesprávném zpracování symbolických odkazů před přístupem k souboru (CWE-59: Improper Link Resolution). Útočník, který už má na stroji nějaký přístup, ji může využít k eskalaci oprávnění až na úroveň SYSTEM. To jsou prakticky nejvyšší lokální práva ve Windows, blízko úplnému převzetí počítače. Microsoft jí přidělil CVSS skóre 7,8 (HIGH).

Druhá zranitelnost, CVE-2026-45498, míří na Antimalware Platform, tedy na samotný „rámec“, ve kterém běží Defender. Jde o Denial of Service způsobený nekontrolovanou spotřebou prostředků (CWE-400). Úspěšné zneužití dokáže Defender ochromit. Stroj pak zůstane bez aktivní ochrany. U těchto chyb panuje ve veřejných zdrojích rozdíl ohledně závažnosti: Microsoft jako CNA uvádí k 27. květnu 2026 skóre 4,0 MEDIUM, zatímco některé bezpečnostní servery pracují se 7,5 HIGH. NVD vlastní hodnocení zatím nepublikovala.

Důležitý kontext: ani jedna z chyb nepředstavuje scénář „otevřu web a jsem kompromitován“. Obě vyžadují, aby útočník už měl k zařízení nějaký přístup. Riziko je ve fázi po exploataci; jakmile se útočník dostane dovnitř jiným způsobem, neopravený Defender mu otevírá cestu k plné kontrole nebo k zařazení ochrany.

Které verze jsou zranitelné a které už ne

Záplata nespočívá v kumulativním updatu Windows, ale v aktualizaci dvou konkrétních komponent Defenderu. Podle poznámek k vydání na Microsoft Learn jsou hranice jasné:

Komponenta	Zranitelná verze (včetně)	Opravená verze (minimum)
Modul ochrany proti malwaru	1.1.26030.3008 a starší	1.1.26040.8
Antimalwarová platforma	4.18.26030.3011 a starší	4.18.26040.7

Pokud vaše čísla verzí odpovídají opravené verzi nebo jsou vyšší, jste v pořádku. Pokud jsou nižší, zařízení zůstává zranitelné, bez ohledu na to, jestli máte Windows 10, Windows 11 nebo Windows Server.

Jak si za minutu ověříte, že jste v bezpečí

Nejrychlejší cesta vede přes grafické rozhraní. Otevřete Zabezpečení Windows (Windows Security), klikněte na Ochrana před viry a hrozbami v dolní části na Aktualizaci ochrany → Vyhledat aktualizace . Po stažení aktuální aktualizace se vraťte do nastavení aplikace: Nastavení (ozubené kolo) → O aplikaci (About). Tam najdete položky „Verze antimalwarového klienta“ a „Verze modul“.

Pro jistější ověření poslouží PowerShell. Stačí dva příkazy:

Get-MPComputerStatus | Format-Table AMEngineVersion
Get-MPComputerStatus | Format-Table AMProductVersion

Hodnota AMEngineVersion musí být minimálně 1.1.26040.8 , hodnota AMProductVersion minimálně 4.18.26040.7 . Restartovat po aktualizaci Defender enginu obvykle není potřeba; Microsoft uvádí, že je vyžadováno jen výjimečně, a systém na to v takovém případě sám upozorní.

Koho se to týká nejvíc

Uživatelé s nastavením automatických aktualizací mají výchozí dobrou šanci, že opravené verze už na jejich strojích běží. Defender si engine a platforma stahuje průběžně přes Windows Update, nezávisle na měsíčních kumulativních záplatách. Jenže „dobrou šanci“ není totéž co „jistotu“.

Vyšší riziko nesou konkrétní skupiny:

• Stroje s vypnutým nebo odloženým Windows Update, typicky firemní počítače řízené přes WSUS nebo SCCM, kde administrátor schvaluje aktualizace ručně.
• Dlouhodobě offline zařízení, notebooky, které týdny neviděly internet.
• Počítače s třetím antivirem, Defender v takovém případě přechází do pasivního nebo vypnutého režimu a jeho komponenty nemusí platit stejně rychle.

Pro českého uživatele platí: americký regulační rámec CISA a deadline 3. června je běžné záležitosti federálních agentur. Samotná zranitelnost ale není geograficky omezená. Každý stroj s Defenderem na starém buildu je stejně otevřený, ať stojí v Praze, nebo ve Washingtonu.

Proč nejde jen o „další záplatu“

Bezpečnostní chyby v antivirech mají specifickou váhu. Defender není běžná aplikace; Běží s vysokými systémovými oprávněními, má přístup ke každému souboru a procesu. Když selže právě tato vrstva, útočník získá klíč k celému systému. A to přesně obě květnové zranitelnosti zajistit: jednu cestu k SYSTEM právům, druhé vypnutí ochrany.

Otevřete PowerShell, zkontrolujte dvě čísla verzí. Zabere to třicet sekund a odpoví to na jedinou podstatnou otázku, jestli Defender skutečně chrání, nebo jen běží.