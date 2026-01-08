Aktualizace, která je automaticky distribuována pro verze na platformách Windows, macOS a Linux, opravuje kritickou zranitelnost typu use-after-free v jedné z komponent vykreslovacího jádra.
Tento typ chyby, který patří mezi nejnebezpečnější, umožňuje útočníkovi po nalákání uživatele na speciálně připravenou webovou stránku spustit libovolný kód v kontextu prohlížeče.
Google zranitelnost klasifikoval jako vysoce rizikovou a v souladu se svou standardní praxí omezil zveřejnění technických detailů do doby, než bude aktualizace nainstalována na většině zařízení. Uživatelé by měli zajistit, že se oprava skutečně aktivovala restartováním prohlížeče.
Podstata zranitelnosti a její potenciální dopad
Chyby typu use-after-free vznikají v situaci, kdy aplikace nesprávně přistupuje k paměti, která již byla uvolněna. Útočník může tuto situaci zneužít k manipulaci s paměťovými ukazateli a vynutit si čtení nebo zápis dat na místa, kam by neměl mít přístup.
V krajním případě to vede ke spuštění libovolného kódu, což otevírá cestu k obejití bezpečnostních mechanismů prohlížeče, jako je například sandbox. Následně může dojít ke krádeži citlivých dat, včetně cookies, přihlašovacích údajů nebo historie prohlížení.
Ačkoliv Google oficiálně nepotvrdil, že by zranitelnost byla aktivně zneužívána v masivních kampaních („in-the-wild exploit“), existují indicie, že byla přinejmenším testována v reálném prostředí. Zranitelnost byla reportována externím bezpečnostním výzkumníkem koncem roku 2025, což poskytlo útočníkům teoretický časový rámec pro přípravu exploitu.
V kombinaci s dalšími zranitelnostmi, například v operačním systému nebo ovladačích, může taková chyba sloužit jako počáteční vektor pro plné kompromitování systému, zejména pokud uživatel pracuje pod účtem s administrátorskými právy.
Ekosystém rozšíření jako trvalé slabé místo
Zatímco jádro prohlížeče Chrome je díky agresivnímu cyklu aktualizací a proaktivnímu vyhledávání chyb relativně dobře zabezpečeno, slabým článkem celého ekosystému zůstávají rozšíření třetích stran.
Ta mají často přidělena rozsáhlá oprávnění, která jim umožňují číst obsah navštěvovaných stránek, přesměrovávat síťový provoz nebo manipulovat s JavaScriptem. Jejich bezpečnostní kontrola je podstatně složitější než u samotného prohlížeče.
Kupříkladu v rámci kampaně Phantom Shuttle se škodlivé rozšíření, maskované jako nástroj pro správu proxy, po léta tiše přesměrovávalo část síťového provozu přes servery útočníků. Cílilo přitom na přibližně 170 specifických domén s vysokou hodnotou, včetně cloudových platforem, vývojářských nástrojů a sociálních sítí, za účelem krádeže citlivých dat.
Jiný případ, kampaň ShadyPanda, ukázal, jak mohou být původně legitimní rozšíření s miliony instalací zkompromitována prostřednictvím škodlivých aktualizací. Tyto aktualizace každou hodinu stahovaly vzdálený JavaScript s plným přístupem k prohlížeči, což umožňovalo exfiltraci historie a cookies, přesměrování výsledků vyhledávání a provádění affiliate podvodů či útoků typu adversary-in-the-middle.
Obranné mechanismy Googlu a reakce útočníků
Google si je těchto rizik vědom a vedle záplatování konkrétních chyb postupně zpřísňuje i obranné mechanismy. Zavádí přísnější pravidla pro oprávnění rozšíření, posiluje detekci podezřelého chování v Chrome Web Store a implementuje do prohlížeče nové funkce, které ztěžují obcházení šifrování a dalších ochranných prvků.
Ukazuje se však, že autoři malwaru tyto změny bedlivě sledují a rychle se jim přizpůsobují. Například nástroj SantaStealer byl již v roce 2024 schopen obcházet novou bezpečnostní funkci Chromu nazvanou App-Bound Encryption, jejímž cílem je chránit citlivá data uložená v prohlížeči.
