CVE‑2026‑11645: Pátá zneužitá zero-day chyba v Chromu a co pro vás znamená

Zranitelnost má skóre CVSS 8,8, což ji řadí do kategorie „vysoká závažnost“ . Pro běžného uživatele to znamená, že úspěšný útok může útočníkovi umožnit spustit na jeho systému škodlivý kód s oprávněními procesu prohlížeče. To obvykle stačí k instalaci malwaru, krádeži dat nebo přípravě dalších exploitů. Povaha chyby „čtení/zápis mimo hranice“ navíc útočníkům usnadňuje obcházení ochranných mechanismů, jako je ASLR (randomizace adresního prostoru), pokud by chtěli proniknout hlouběji do systému .

Podrobnosti o záplatě a časový plán

Nouzová záplata byla vydána ve stabilním kanálu pro desktop 8. června 2026 v rámci rozsáhlejší aktualizace, která v jediném balíčku opravuje 74 bezpečnostních zranitelností . Google potvrdil, že na chybu CVE-2026-11645 existuje v divočině reálně používaný exploit, což z této aktualizace činí urgentní, nezbytný krok pro každého, kdo používá Chrome na počítači .

Opravené verze jsou:

• Windows a macOS: Chrome 149.0.7827.102 / 149.0.7827.103
• Linux: Chrome 149.0.7827.102

Jak je u stabilních aktualizací Chromu obvyklé, oprava se k uživatelům dostává postupně během několika dní a týdnů. Aktualizaci však můžete spustit ručně ihned přes Nabídka Chrome > Nápověda > O Google Chrome.

Odměna za nalezení chyby a proces zveřejnění

Zranitelnost objevil a Googlu nahlásil 27. dubna 2026 anonymní bezpečnostní výzkumník vystupující pod přezdívkou „303f06e3“ . Společnost mu za tento nález vyplatila odměnu 55 000 USD (přibližně 1,2 milionu Kč), což odpovídá prémiovým sazbám programu Chrome Vulnerability Rewards Program za vysoce závažné chyby způsobující poškození paměti v enginu V8 .

Širší obrázek zero-day chyb v Chromu v roce 2026

S chybou CVE-2026-11645 eviduje Google v roce 2026 již pět aktivně zneužívaných zero-day zranitelností, které musel opravit . Jejich rychlý sled před červnem ukazuje zrychlující se tempo útoků na prohlížeče:

• CVE-2026-2441 (únor 2026): Chyba typu „use-after-free“ ve zpracování CSS, umožňující vzdálené spuštění kódu v sandboxu .
• CVE-2026-3909 (12. března 2026): Chyba zápisu mimo hranice paměti v knihovně Skia, která se stará o vykreslování 2D grafiky .
• CVE-2026-3910 (12. března 2026): Chyba v implementaci enginu V8, která rovněž umožňovala spuštění kódu uvnitř sandboxu. Opravena ve stejné dávce jako CVE-2026-3909 .
• CVE-2026-5281 (1. dubna 2026): Chyba „use-after-free“ v komponentě Dawn, multiplatformní implementaci WebGPU. Americký úřad CISA ji přidal na svůj katalog známých zneužívaných zranitelností a stanovil termín pro opravu pro federální úřady .
• CVE-2026-11645 (červen 2026): Zero-day chyba čtení/zápisu mimo hranice v enginu V8, opravená touto mimořádnou aktualizací .

Všech pět zranitelností bylo potvrzeno jako zneužívané ještě před vydáním oprav. Tento vzorec naznačuje, že rok 2026 pravděpodobně překoná celkové počty zero-day chyb v Chromu z předchozích let a klade trvalý tlak na IT týmy, aby zkrátily cykly instalace záplat pro prohlížeče .

Co byste měli udělat právě teď

Chrome se obvykle aktualizuje automaticky na pozadí, ale plošné zavádění může trvat i několik dní. Pro okamžitou ochranu otevřete Chrome, klikněte na ikonu tří teček v pravém horním rohu, vyberte Nápověda > O Google Chrome a nechte prohlížeč zkontrolovat a nainstalovat dostupné aktualizace. Číslo verze by mělo být 149.0.7827.102 nebo vyšší pro Windows a Linux a 149.0.7827.103 nebo vyšší pro macOS .

Pokud spravujete nasazení Chromu ve firmě, ověřte, že všechna koncová zařízení dostávají nejnovější stabilní verzi, a zvažte urychlení nasazení této mimořádné záplaty. Potvrzený status aktivního zneužívání znamená, že jakýkoli systém se starší verzí Chromu je stále vystaven reálnému riziku útoku.