Stará se o vykreslování webového obsahu na obrazovku – zpracovává texty, obrázky, geometrické tvary i efekty CSS. CVE-2026-3909 je v odborné terminologii označena jako out-of-bounds write: Skia při zpracování záměrně poškozené HTML stránky zapisuje data za hranici paměťové oblasti, která je pro danou operaci alokována. Útočník může tímto způsobem poškodit paměť prohlížeče tak, aby vytvořil podmínky pro spuštění libovolného kódu. Útok nevyžaduje žádnou interakci uživatele nad rámec návštěvy záměrně upravené webové stránky.

V8 je JavaScript a WebAssembly engine, který v Chromiu kompiluje a spouští kód webových aplikací. Je zodpovědný za rychlost moderního webu – přebírá JavaScript odeslaný webovými stránkami a převádí ho přímo na strojový kód procesoru. CVE-2026-3910 je klasifikována jako inappropriate implementation v tomto enginu: záměrně připravená stránka může zneužít chybu v implementaci tak, aby útočníkovi umožnila spustit libovolný kód uvnitř sandboxu prohlížeče. Sandbox je izolovaná oblast, ve které Chrome spouští webový obsah a která má bránit tomu, aby malware z navštívené stránky získal přístup k operačnímu systému. Spuštění kódu uvnitř sandboxu samo o sobě nestačí k úplnému kompromitování systému, ale je prvním krokem v útočném řetězci – pokud útočník disponuje i zranitelností pro únik ze sandboxu, může z prohlížeče přejít do plnohodnotného přístupu k zařízení.

Google potvrdil, že obě zranitelnosti jeho vlastní bezpečnostní tým identifikoval 10. března 2026, přičemž v té době již byly aktivně využívány. Zero-day zranitelnosti v prohlížečích jsou relativně vzácné – v posledních dvou letech se pohyboval jejich počet v Chromiu na úrovni pěti až deseti ročně – a bývají charakteristické pro cílené, sofistikované útoky. Exploity tohoto typu se typicky vyskytují v arzenálu skupin zaměřených na špionáž nebo cílené průniky: napadenou osobu stačí přimět k navštívení záměrně připravené URL, aniž by musela cokoliv stahovat nebo instalovat. Po zveřejnění záplaty se princip zneužití stane brzy veřejně dostupným a exploity se rychle šíří i k méně sofistikovaným útočníkům.

Dopad se netýká pouze Googlu Chrome. Chromium je open-source základ, na němž je postaven Microsoft Edge, Opera, Vivaldi, Brave a desítky dalších prohlížečů. Výrobci těchto prohlížečů obvykle vydávají záplaty ve velmi krátkém čase po vydání Chromium záplaty, nicméně uživatelé musí aktualizaci aktivně nainstalovat a prohlížeč restartovat. V podnikových prostředích je tento krok mnohdy odkládán nebo blokován politikami správy stanic, a prohlížeče tak zůstávají zranitelné i přesto, že záplata je dostupná.

Pro ověření verze Chrome stačí v adresním řádku zadat chrome://settings/help nebo kliknout na tři tečky v pravém horním rohu, zvolit Nápověda a poté Informace o Google Chrome. Prohlížeč zobrazí aktuální verzi a v případě dostupnosti záplaty ji automaticky stáhne; pro její aktivaci je nutný restart. Bezpečná verze je 146.0.7680.75 nebo novější. U Microsoft Edge lze verzi ověřit přes edge://settings/help.

Z pohledu organizací je tento incident připomínkou, že webový prohlížeč dnes představuje jednu z nejvýznamnějších útočných ploch v každém prostředí. Průměrný zaměstnanec tráví v prohlížeči většinu pracovní doby, pracovní stanice mívají přístup k firemním systémům a interním aplikacím, a kompromitace prohlížeče proto může být vstupní branou do celé organizace. Správa záplat prohlížeče by proto měla být zahrnuta i do standardních procesů patch managementu s termíny srovnatelnými s operačním systémem a kancelářskými aplikacemi – nikoli ponechána na dobrovolné aktualizaci jednotlivých uživatelů.

The Register
Qualys ThreatPROTECT
CISA