Do katalogu Known Exploited Vulnerabilities agentury CISA přibyly 9. června 2026 tři nové záznamy. Dvě z nich – zranitelnost v JavaScript enginu prohlížeče Chrome a chyba v síťovém operačním systému Arista EOS – dosud nebyly pokryty. Třetí, týkající se Cisco SD-WAN Manageru, je předmětem samostatného článku.

CVE-2026-11645 | Google Chromium V8 | CVSS 8.8 (CWE-119) – Zranitelnost out-of-bounds čtení a zápisu v enginu V8, který Chrome a Chromium používají pro zpracování JavaScriptu a WebAssembly. Chyba spočívá v logické vadě v optimalizátoru TurboFan: tracker rozsahů nesprávně vypočítá maximální možnou hodnotu proměnné modifikované uvnitř smyčky nebo specifickými bitovými operacemi. TurboFan proto mylně usoudí, že proměnná nemůže překročit hranici pole, a odstraní kontrolu mezí, takže útočník může provést čtení nebo zápis mimo alokovaný buffer uvnitř sandboxovaného renderovacího procesu. Vzdálený útočník ji může zneužít prostřednictvím speciálně sestavené HTML stránky – bez nutnosti jakékoli interakce ze strany uživatele kromě otevření stránky. Bezpečnostní výzkumník „303f06e3" chybu nahlásil 27. dubna 2026 a obdržel bug bounty 55 000 USD. Záplata je součástí Chrome 149 Stable: verze 149.0.7827.102/.103 pro Windows a macOS, 149.0.7827.102 pro Linux, vydané 8. června 2026. Chromium je základem celé řady prohlížečů a aplikací – Microsoft Edge, Opera, Brave, Electron. Doporučujeme okamžitou aktualizaci všech Chromium-based prohlížečů v organizaci, a to i u aplikací postavených na Electronu, které mají vlastní release cyklus nezávislý na Chrome. Termín nápravy CISA: 23. června 2026.