Aktualizujte Chrome hned, než bude pozdě. Google opravil 18 děr, 4 z nich jsou kritické a útočník přes ně ovládne počítač
Google 23. června 2026 vydal záplatu pro desktopový Chrome, která opravuje 18 chyb. Čtyři z nich jsou kritické a otevírají cestu ke spuštění cizího kódu na počítači.
Obsah článku
Konkrétně jde o build 149.0.7827.196/197 pro Windows a macOS a 149.0.7827.196 pro Linux. Čtyři kritické chyby, označené jako CVE-2026-13028, CVE-2026-13032, CVE-2026-13033 a CVE-2026-13038, se podle veřejných záznamů v americké Národní databázi zranitelností (NVD) liší svým dopadem, ale spojuje je jedno: stačí podvržená webová stránka. U dvou z nich (CVE-2026-13033 a CVE-2026-13038) NVD přímo uvádí, že útočník může prostřednictvím upravené HTML stránky spustit na cílovém zařízení libovolný kód. Zbylé dvě (CVE-2026-13028 a CVE-2026-13032) popisují potenciální únik ze sandboxu, tedy z ochranné vrstvy, která má zabránit škodlivému kódu v přístupu ke zbytku systému. Kombinace obojího – spuštění cizího kódu a únik ze sandboxu – je přesně scénář, který útočníkovi otevírá cestu k ovládnutí počítače. Google zatím veřejně nepotvrdil, že by tyto chyby někdo aktivně zneužíval, technické detaily ale záměrně drží pod pokličkou, dokud nebude aktualizovaná většina uživatelů. Čekání proto jen prodlužuje dobu, po kterou zůstáváte na známé zranitelné verzi. Jednejte, než bude pozdě.
Deset z osmnácti chyb má společného jmenovatele
Z 18 opravených zranitelností je hned deset typu use-after-free. Jde o chybu v práci s pamětí, kdy program pokračuje v používání místa, které už uvolnil. Podle klasifikace MITRE CWE-416 taková chyba typicky vede k pádu aplikace, poškození paměti a v prohlížečích se z ní pravidelně stává odrazový můstek pro spuštění cizího kódu. Zbylých osm oprav pokrývá problémy typu out-of-bounds read, neinicializovaná paměť nebo nedostatečná validace vstupů, většinou s hodnocením „high“.
Zasažené komponenty čtou jako inventář toho, co Chrome dělá při běžném surfování: WebGL (3D grafika), Blink (renderovací jádro), Autofill (automatické vyplňování formulářů), Bluetooth, DevTools, správu hesel, Web Authentication nebo FileSystem. Útočný vstup přitom není žádná exotická funkce, ale běžný webový obsah, na který kliknete v e-mailu, na sociální síti nebo ve vyhledávači.
Jak zkontrolovat verzi a aktualizovat
Postup je stejný na Windows, macOS i Linuxu:
- Klikněte na tři tečky vpravo nahoře v Chrome.
- Zvolte Nápověda → O aplikaci Google Chrome.
- Chrome automaticky zkontroluje dostupné aktualizace.
- Pokud je nová verze k dispozici, zobrazí se tlačítko Znovu spustit (Relaunch).
Dokud prohlížeč nerestartujete, záplata se neaplikuje. Na Linuxu se aktualizace řeší přes správce balíčků. Google v oficiální nápovědě upozorňuje, že na Windows pomůže zavřít všechna okna Chrome a prohlížeč znovu spustit.
Důležitá poznámka k časování: 7. července 2026 Google posunul stabilní desktopovou větev na Chrome 150.0.7871.100/.101. Pokud tedy dnes vidíte v prohlížeči verzi 150 nebo vyšší, červnové záplaty už máte. Pokud ale z jakéhokoli důvodu používáte starší verzi než 149.0.7827.196, jste zranitelní.
Jak jsou na tom telefony a co dělat po aktualizaci
Dva kritické problémy ve WebGL (CVE-2026-13028 a CVE-2026-13032) NVD explicitně popisuje jako chyby v Chrome pro Android ve verzích starších než 149.0.7827.197. Google 25. června vydal pro Android build 149.0.7827.200, který je opravuje; aktualizace je dostupná přes Google Play. Chrome na iPhonu má samostatný vývojový cyklus a tento konkrétní bezpečnostní bulletin se ho podle dostupných informací netýká.
Po aktualizaci stojí za to udělat ještě pár kroků navíc:
- Spusťte Safety Check (Nastavení → Soukromí a zabezpečení → Kontrola zabezpečení), který odhalí kompromitovaná hesla, škodlivá rozšíření i chybějící aktualizace.
- Zkontrolujte, že máte zapnutý Safe Browsing, ideálně v rozšířeném režimu.
- Projděte si nainstalovaná rozšíření a odstraňte ta, která nepoznáváte nebo nepoužíváte.
- Zapněte možnost „Vždy používat zabezpečené připojení“ (režim pouze HTTPS).
Pokud pozorujete nečekané změny nastavení, přesměrování vyhledávání nebo podezřelé stahování, Google doporučuje resetovat nastavení prohlížeče.
Osmnáct oprav není málo, ale ani to není výjimka
Samotný počet 18 záplat v bodové aktualizaci nevypadá dramaticky. Pro srovnání: když Google 2. června 2026 povýšil Chrome 149 do stabilní větve, součet činil 429 bezpečnostních oprav. V květnu šly do stabilní větve dva velké balíky – 126 oprav u Chrome 148 a o tři týdny později dalších 151. Jenže 429 je součet celé nové hlavní verze, ne korekční aktualizace. Pozdější záplata s 18 opravami je sice menší počtem, ale čtyři kritické CVE ukazují, že závažnost se neměří kvantitou.
Nejde ani o specifikum Chromu. Mozilla 16. června 2026 ve Firefoxu 152 opravovala chyby paměťové bezpečnosti a problémy s únikem ze sandboxu a sama přiznala, že část z nich nesla známky poškození paměti, které „při dostatečném úsilí mohlo vést ke spuštění libovolného kódu“.
Jestli máte Chrome na desktopu nebo Androidu, ověřte si verzi a restartujte prohlížeč. Je to práce na třicet sekund, která zavře dveře čtyřem kritickým zranitelnostem najednou.