Aktualizujte Chrome, než hackeři ovládnou počítač: 433 bezpečnostních děr najednou, 20 z nich je kritických
Google vydal 30. června 2026 Chrome 150, stabilní aktualizaci, která zaznamenává stovky bezpečnostních chyb včetně dvaceti kritických. Dvě stačí k převzetí počítače.
Obsah článku
Číslo 382 bezpečnostních oprav pochází z analýzy bezpečnostní firmy Malwarebytes, která Chrome 150 označila za „mamutí aktualizaci“. Oficiální seznam na stránce Chrome Releases je ve skutečnosti ještě delší; Google uvádí 433 bezpečnostních oprav. Rozdíl pravděpodobně plyne z odlišné metodiky počítání, ale i nižší údaj je mimořádný. Dvacet z opravených chyb nese označení Critical, dalších zhruba 88 je hodnoceno jako High. Aktualizace se týká Windows, macOS, Linuxu i Androidu a platí globálně, česká verze prohlížeče dostává identický balík oprav. Jenže stáhnout aktualizaci nestačí. Dokud uživatel neklikne na „Znovu spustit“, běží stále na staré, zranitelné verzi.
Chrome obsahuje kritickou chybu
Chrom má vlastní pravidla hodnocení závažnosti. Stupeň Critical (S0) neznamená jen pád karty nebo zamrznutí prohlížeče. Znamená, že útočník může číst nebo zapisovat libovolná data na hostitelském systému s právy přihlášeného uživatele. Může jít o přímou korupci paměti v hlavním procesu prohlížeče nebo (a to je častější scénář) o řetězení dvou či více chyb, které umožní únik ze sandboxu do operačního systému.
Právě proto je dvacet kritických položek v jednom vydání alarmujících. Každá z nich představuje potenciální stavební blok útoku, který nekončí uvnitř prohlížeče, ale může pokračovat do souborového systému, správce hesel nebo jiných aplikací.
Jak by útočník mohl ovládnout váš počítač
Klíčovou roli v tomto scénáři hraje chyba CVE-2026-13789. Jde o chybu typu use-after-free v procesu GPU prohlížeče Chrome. Sama o sobě je hodnocena jako High, nikoli Critical, protože ke svému zneužití potřebuje první krok: kompromitaci rendereru.
Celý řetězec vypadá takto:
- Kompromitace rendereru – uživatel navštíví škodlivou stránku, která prostřednictvím jiné zranitelnosti umožní spuštění kódu uvnitř sandboxovaného rendererového procesu.
- Únik ze sandboxu přes GPU – proces GPU v Chromiu běží v méně restriktivním režimu než renderer, protože potřebuje přímý přístup ke grafickým rozhraním systému. CVE-2026-13789 umožňuje z kompromitovaného rendereru prostřednictvím speciálně vytvořené HTML stránky zneužít chybu v procesu GPU a uniknout ze sandboxu.
- Přístup k systému – útočník získá oprávnění přihlášeného uživatele. Může číst soubory, nainstalovat malware nebo získat uložená hesla.
K 1. červenci 2026 americká databáze NVD u CVE-2026-13789 eviduje stav „exploitation: none“, aktivní zneužití tedy zatím nebylo zaznamenáno. Jenže období mezi vydáním záplaty a její instalací uživateli je přesně chvíle, kdy útočníci reverzně analyzují opravu a hledají cestu ke zneužití. Google proto detaily některých chyb záměrně nezveřejňuje, dokud se neaktualizuje dostatečný podíl uživatelů.
Proč tolik chyb najednou
Stovky oprav v jednom vydání mohou působit jako důkaz, že Chrome je mimořádně děravý. Realita je složitější. Chromium samo uvádí, že přibližně 70 % závažných bezpečnostních chyb souvisí s prací s pamětí a značná část z nich spadá do kategorie use-after-free. To není náhoda: Chrome má obrovskou kódovou základnu, která zahrnuje JavaScriptový engine V8, grafický subsystém Skia, správce hesel, Bluetooth API, WebUSB a mnoho dalších komponent.
Google proti tomu nasazuje rozsáhlé interní testování, sanitizéry kódu a fuzzing, které systematicky hledají chyby dříve, než je objeví útočníci. Malwarebytes spekuluje, že roli mohou hrát i pokročilé nástroje využívající AI, oficiální potvrzení od Googlu ale chybí. Mimořádně velký balík oprav tedy nemusí znamenat, že je prohlížeč nebezpečnější než dříve. Spíše ukazuje na rozsah projektu a intenzitu bezpečnostního testování.
Ve veřejném seznamu Chrome 150 se opravy týkají mimo jiné komponent Extensions, GPU, ANGLE, Dawn, Skia, V8, DOM, WebUSB, Bluetooth, správce hesel, DevTools a dalších částí prohlížeče. Šíře zasažených oblastí ukazuje, že nešlo o jednu problematickou komponentu, ale o plošný bezpečnostní audit.
Jak Chrome aktualizovat a proč nestačí jen stažení
Postup je jednoduchý, ale má jeden háček, který řada uživatelů přehlíží:
- Otevřete Chrome.
- Klikněte na tři tečky vpravo nahoře → Nápověda → O aplikaci Google Chrome.
- Prohlížeč automaticky zkontroluje dostupnost aktualizace a stáhne ji.
- Klikněte na Znovu spustit (Relaunch).
Bez posledního kroku zůstává prohlížeč na zranitelné verzi. Chrome sice aktualizaci stáhne na pozadí, ale nový kód se načte až po restartu samotného prohlížeče, nikoli celého počítače. Otevřené karty se obnoví, anonymní okna nikoli.
Bezpečné sestavení Chrome 150:
| Platforma | Verze |
|---|---|
| Windows / macOS | 150.0.7871.46 / .47 |
| Linux | 150.0.7871.46 |
| Android | 150.0.7871.63 |
Pokud v sekci „O aplikaci“ vidíte nižší číslo verze nebo tlačítko Znovu spustit, dokončete aktualizaci restartem Chrome. Na Linuxu může být potřeba aktualizaci provést také prostřednictvím správce balíčků.
Spoluuživatelé Edge a Firefoxu
Chrome 150 není jen záležitostí Chromu. Microsoft Edge stojí na stejném jádru Chromium a Edge 150, vydaný 2. července 2026, podle oficiálních poznámek Microsoftu přebírá stejné bezpečnostní opravy. Uživatelé Edge by proto měli aktualizaci věnovat stejnou pozornost.
Firefox používá vlastní renderovací engine a Mozilla vydává bezpečnostní opravy samostatně. V MFSA 2026-35 pro Firefox 150.0.1 uvádí minimálně jednu kritickou a několik závažných oprav souvisejících s pamětí. Přímé srovnání počtu chyb s Chromiem není možné, protože Mozilla často sdružuje více zranitelností do jednoho hlášení, princip je ale stejný: aktualizovat a restartovat.
Dvacet kritických chyb v jednom vydání je mimořádně vysoké číslo i na poměry Chromu. Kdo má prohlížeč otevřený bez restartu už několik dní, může stále používat verzi, jejíž známé zranitelnosti jsou už veřejně zdokumentované. Stačí kliknout na „Znovu spustit“.