Ihned aktualizujte Chrome. Nejoblíbenější prohlížeč má kritickou chybu, která ovlivní každého

Stačí jen navštívit závadnou stránku a útočník může získat kontrolu nad tím, co se děje v otevřené kartě. Google vydal opravu, kterou byste neměli odkládat.

Lukáš Altman (Mobify.cz)

Jestliže používáte Chrome, zpozorněte. Společnost Google vydala samostatnou bezpečnostní aktualizaci, a to kvůli vážné chybě značené jako CVE-2026-2441, kterou už si vzali na paškál podvodníci. Stačí otevřít podvrženou webovou stránku a útočník může spustit vlastní kód přímo v prostředí prohlížeče. Google tentokrát ani nečekal na nic nečekal a uvolnil záplatu prakticky okamžitě, což dle redakce Mobify jen vypovídá o její závažnosti.

Upravená stránka shodí aplikaci nebo spustí cizí kód

Slabina se týká způsobu, jakým Google Chrome pracuje s funkcemi písma v CSS (konkrétně komponenty CSSFontFeatureValuesMap), uvedl MalwareBytes. Jde o typ chyby označovaný jako „use-after-free“ (UAF). Pokud program po uvolnění paměti k danému místu opětovně přistoupí, může dojít k celkovému pádu aplikace, nebo, v horším případě, ke spuštění cizího kódu.

Útočník tedy vytvoří speciálně upravenou HTML stránku, která chybu vyvolá. Chrome pak pracuje s neplatnými daty v paměti, což může skončit převzetím kontroly nad danou kartou v prohlížeči. Oficiální záznam ohledně této chyby uvádí, že je možné spustit libovolný kód „uvnitř sandboxu“, informuje sám Google.

Sandbox není všemocný ochránce, ačkoli se tak prezentuje

Chrome využívá tzv. sandbox, tedy podle vysvětlení Wikipedie bezpečnostní mechanismus, který koriguje, co může jednotlivá karta vlastně dělat. I kdyby došlo k narušení, škody by stále měly zůstat uzavřené uvnitř tohoto prostoru.

Jenže i toto „malé“ narušení bohatě stačí. Útočník může číst obsah stránky, manipulovat s přihlášeními, zachytit data z webových formulářů nebo přesměrovat komunikaci. Pokud by navíc propojil tuto chybu s další slabinou umožňující únik informací ze sandboxu, mohl by získat plnou kontrolu nad systémem. Chyba byla opravena ve verzích:

• 145.0.7632.75/76 pro Windows a macOS
• 145.0.7632.75 pro Linux

Pokud máte tuto nebo novější verzi, můžete být v klidu. Aktualizaci případně uděláte přes nabídku tří teček v prvém horním rohu prohlížeče → Nastavení → O aplikaci Chrome. Prohlížeč záplatu sám stáhne a po restartu aktivuje. Lidem obecně v tomto případě ubližuje jejich pohodlnost. Mnoho z nich totiž Chrome prakticky nezavírá, takže i když se oprava stáhne, není aktivní.

Jak minimalizovat riziko do budoucna

Zero-day slabiny, tedy chyby zneužívané ještě před vydáním opravy, jsou v posledních letech čím dál častějším problémem. Proto osobně doporučujeme:

• Zapnout automatické aktualizace
• Používat bezpečnostní software s webovou ochranou
• Neklikat na podezřelé odkazy
• Zvážit oddělení pracovního a osobního prohlížení do různých profilů

Bezpečnost prohlížeče je dnes základem, protože právě on je branou ke všem dalším službám, od e-mailu přes bankovnictví až po firemní systémy. Jediná neopravená chyba tak může způsobit opravdu velké problémy.