Ak používate prehliadač Google Chrome, prestaňte na chvíľu čítať a skontrolujte si, či máte nainštalovanú najnovšiu verziu. Spoločnosť Google totiž musela narýchlo vydať urgentnú bezpečnostnú záplatu. Dôvodom je vážna „zero-day“ zraniteľnosť, o ktorej už hackeri vedia a aktívne ju zneužívajú na útoky v reálnom čase.
Chyba, ktorá dostala označenie CVE-2026-2441, bola objavená bezpečnostným výskumníkom Shaheenom Fazimom len 11. februára. Reakcia Googlu bola blesková – opravu vydali takmer okamžite. Ide o chybu s vysokým stupňom závažnosti (CVSS skóre 8.8), ktorá umožňuje útočníkom spustiť škodlivý kód priamo v prostredí vášho prehliadača.
Technické pozadie: Čo je to „Use-After-Free“?
Zraniteľnosť patrí do kategórie tzv. use-after-free (UAF) chýb. Pre laika sa to dá vysvetliť na jednoduchom príklade:
Predstavte si pamäť počítača ako hotelové izby. Keď program (v tomto prípade Chrome) prestane izbu potrebovať, vráti kľúč a izba sa označí ako „voľná“ (free). Chyba však nastane, ak si program omylom ponechá kópiu kľúča a pokúsi sa do izby vrátiť, hoci tá už môže byť obsadená niečím iným. Útočníci tento moment využijú – do uvoľnenej pamäte vložia svoj škodlivý kód a keď sa prehliadač pokúsi k týmto dátam pristúpiť, namiesto očakávanej informácie spustí vírus alebo exploit.
Zradné CSS fonty: Nemusíte na nič kliknúť
Konkrétne táto chyba sa nachádza v komponente CSSFontFeatureValuesMap, ktorý má na starosti spracovanie pokročilých fontov a štýlov (CSS).
To robí z tejto zraniteľnosti mimoriadne nebezpečnú hrozbu. Nevyžaduje totiž od obete takmer žiadnu interakciu. Nemusíte sťahovať podozrivý súbor, ani klikať na tlačidlo „Vyhrali ste iPhone“. Útočníkom stačí vytvoriť webovú stránku so špeciálne upravenými fontmi. Akonáhle túto stránku načítate, prehliadač sa pokúsi spracovať poškodené dáta, čím spustí reťazovú reakciu a aktivuje škodlivý kód priamo v pamäti Chromu.
Čo vám hrozí?
Google potvrdil, že chyba je zneužívaná „in the wild“ (v divočine), čo je technický termín pre situáciu, kedy kyberzločinci chybu reálne používajú na napádanie nič netušiacich ľudí.
Jedinou dobrou správou je, že Chrome má pomerne robustný sandbox (bezpečnostné pieskovisko). Tento mechanizmus izoluje procesy prehliadača od zvyšku operačného systému. Útočník teda cez túto chybu nezíska okamžitú a plnú kontrolu nad celým vaším počítačom. To však neznamená, že ste v bezpečí. V rámci prehliadača môžu útočníci:
- Čítať vaše citlivé dáta z iných otvorených kariet (emaily, bankovníctvo).
- Získať prístup k histórii prehliadania.
- Pokúsiť sa o ďalšie, komplexnejšie útoky na prelomenie sandboxu a preniknutie do systému.
Ako sa chrániť? Aktualizujte hneď
Google uvoľnil opravnú verziu Chrome 145.0.7632.75/76 pre operačné systémy Windows a macOS, a verziu 144.0.7559.75 pre Linux. Hoci sa prehliadač zvyčajne aktualizuje na pozadí, v tomto prípade sa odporúča proces vyvolať manuálne:
- Kliknite na ikonu troch bodiek v pravom hornom rohu prehliadača.
- Prejdite na položku Pomocník (Help) > O prehliadači Google Chrome (About Google Chrome).
- Otvorí sa nová karta, ktorá automaticky skontroluje dostupnosť aktualizácií a začne ich sťahovať.
- Dôležité: Po stiahnutí sa vpravo objaví tlačidlo Reštartovať. Musíte naň kliknúť, aby sa oprava aplikovala.
