429 bezpečnostních děr v prohlížeči Chrome najednou. Aktualizujte ho hned, 22 chyb je kritických a ohrožuje 3,5 miliardy lidí
Google vydal 2. června 2026 Chrome 149 s rekordním balíkem 429 bezpečnostních oprav. Dvacet dva z nich nese označení „kritické“ a bez restartu prohlížeče se záplata neuplatní.
Obsah článku
Číslo 429 neznamená, že v jediný den někdo objevil 429 nových bezpečnostních chyb. Chrome používá vícekanálový vývojový model a takzvaný staged rollout: opravy se sbírají během celého vývojového cyklu a do stabilní verze dorazí najednou jako jeden velký balík. Právě to se stalo s Chrome 149.0.7827.53/54 pro Windows a macOS (149.0.7827.53 pro Linux), který Chrome Releases blog zveřejnil v úterý 2. června 2026. Z těchto 429 oprav je 22 označeno jako kritických podle interní klasifikace projektu Chromium. To znamená, že jde o chyby, které mohou představovat vysoké riziko pro libovolný počítač, pokud by je útočník dokázal zneužít. A „3,5 miliardy lidí“? To je spíš konzervativní zkratka pro globální uživatelskou základnu Chrome, která je ve skutečnosti ještě větší. Soudní podání amerického ministerstva spravedlnosti z května 2025 uvádí více než 4 miliardy měsíčně aktivních uživatelů. Každý z nich je potenciálně dotčený, dokud si prohlížeč neaktualizuje a nerestartuje.
Proč zrovna 429 a proč je to rekord
Číslo působí alarmujícím dojmem, ale má logické vysvětlení. Chrome prochází čtyřmi vývojovými kanály: Canary, Dev, Beta a Stable. Bezpečnostní chyby, které odhalí interní testy, automatizované fuzzery nebo externí výzkumníci, se průběžně opravují v nižších kanálech. Jakmile přijde čas na nový stabilní milník, všechny dosud nevydané opravy se sloučí do jednoho vydání. U Chrome 149 jejich počet dosáhl rekordní hodnoty.
Podle serveru SecurityWeek jde o historicky největší jednorázový bezpečnostní balík pro Chrome. Důvodem je pravděpodobně kombinace dvou faktorů. Zaprvé, kódová základna Chrome je obrovská – zahrnuje grafiku, síťový stack, správce hesel, rozšíření i vývojářské nástroje. Zadruhé, Google stále intenzivněji využívá umělou inteligenci při hledání chyb. Už na podzim 2024 firma popsala, jak velké jazykové modely pomáhají generovat a vylepšovat fuzz targety, tedy testovací vstupy cílené na odhalování paměťových chyb. Více testů znamená více nalezených chyb. A více nalezených chyb znamená větší bezpečnostní balík, což je paradoxně dobrá zpráva.
Kritická chyba se týká hesel i grafiky
Chromium rozlišuje čtyři stupně závažnosti: nízkou, střední, vysokou a kritickou. Kritická chyba je taková, která může útočníkovi umožnit spustit na zařízení vlastní kód s právy uživatele, například po návštěvě speciálně upravené webové stránky. Mezi 22 kritickými CVE v Chrome 149 vyčnívají dvě skupiny:
- Komponenta Passwords – CVE-2026-10900 a CVE-2026-10901 jsou chyby typu use-after-free v části prohlížeče napojené na Google Password Manager. Neznamená to automaticky, že unikla uložená hesla, ale chyba v tak citlivé části může vést ke kompromitaci procesu prohlížeče.
- ANGLE (Almost Native Graphics Layer Engine) – překladová vrstva pro WebGL a OpenGL ES nad Vulkanem, Direct3D nebo desktopovým OpenGL. Leží blízko grafického subsystému a paměťové chyby v ní mohou mít závažné důsledky. Ve verzi 149 se mezi kritickými zranitelnostmi objevuje opakovaně.
SecurityWeek u jedné z chyb, CVE-2026-10881, popisuje možnost úniku ze sandboxu prostřednictvím upravené HTML stránky. Právě sandbox escape patří mezi nejzávažnější scénáře, protože útočník se může dostat z izolovaného prostředí prohlížeče do operačního systému.
Důležitý kontext: Google u žádné z 429 opravených chyb v době vydání neuvedl, že by byla aktivně zneužívána v praxi. To samozřejmě neznamená, že to není možné, ale v okamžiku vydání nebyl znám žádný veřejně zneužívaný exploit.
Skutečný problém: patch gap a restart, který lidé odkládají
Pro běžného uživatele není hlavním rizikem samotný počet CVE. Je jím prodleva mezi vydáním opravy a jejím skutečným nasazením. Chrome sice stahuje aktualizace na pozadí, ale změny se projeví až po restartu prohlížeče. A právě tady vzniká takzvaný patch gap – období mezi vydáním záplaty a okamžikem, kdy je uživatel skutečně chráněný.
Staged rollout navíc znamená, že aktualizace nedorazí všem najednou. Google u stabilních verzí uvádí dostupnost „v průběhu následujících dnů“ a podle dokumentace mohou být nové verze zpočátku zpřístupněny jen malému procentu uživatelů. Kdo nechce čekat, může aktualizaci zkontrolovat ručně:
- Klikněte na tři tečky v pravém horním rohu Chrome.
- Vyberte Nápověda → O aplikaci Google Chrome.
- Prohlížeč zkontroluje dostupnost aktualizace a případně ji stáhne.
- Klikněte na Znovu spustit.
Bez tohoto posledního kroku zůstává prohlížeč spuštěný ve starší, zranitelnější verzi. Na Linuxu se aktualizace zpravidla provádí prostřednictvím systémového správce balíčků.
Bezpečná základní verze při vydání byla 149.0.7827.53/54. Během června ale Google vydal další dílčí aktualizace: 149.0.7827.102/103 (8. června) a 149.0.7827.196/197 (23. června). Pokud tedy vidíte vyšší číslo buildu řady 149, používáte novější a bezpečnější verzi. Není potřeba hledat přesně verzi .53 nebo .54.
Android, iOS a co dělají ostatní prohlížeče
Desktopová verze nebyla jediná. Android dostal Chrome 149.0.7827.59 také 2. června prostřednictvím Google Play, zatímco iOS obdržel vlastní build 149.0.7827.137 o osm dní později, 10. června, přes App Store. Časová osa se liší, princip je ale stejný: aktualizovat a restartovat aplikaci.
A co konkurence? Mozilla ve stejný den, 2. června 2026, vydala Firefox 151.0.3 se dvěma závažnými CVE. Microsoft Edge 149, který je postavený na Chromiu a přebírá jeho bezpečnostní opravy, vyšel 4. června. Velké bezpečnostní aktualizace nejsou specialitou Chrome, ale běžnou součástí vývoje moderních prohlížečů. Z pouhého počtu opravených chyb nelze vyvozovat, který z nich je bezpečnější. O bezpečnosti rozhoduje především rychlost odhalení a opravy zranitelností, nikoli jejich absolutní počet.
Rekordních 429 oprav v jednom vydání může na první pohled působit děsivě. Ve skutečnosti ale ukazuje, jak intenzivně Google chyby vyhledává a jak rychle je opravuje. Jediné, co zbývá na straně uživatele, je kliknout na „Znovu spustit“. Zabere to jen několik sekund.