CVE-2026-10971
Kritisk

CVE-2026-10971: Kritisk Chrome-fejl på Windows

Kritisk fejl i Google Chrome på Windows lader hackere bryde ud af browserens sikkerhedslag via en ondsindet hjemmeside.

CVSS Score
9.6
Offentliggjort
04/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdater inden for 24-48 timer

Hvad er det?

En kritisk sårbarhed i Google Chrome på Windows gør det muligt for en angriber at slippe ud af browserens såkaldte sandkasse (et isoleret sikkerhedsområde, der normalt holder skadelig kode indespærret). Fejlen opstår i Chromes udskriftsfunktion, som ikke håndterer farligt indhold korrekt. Hvis en angriber allerede har kompromitteret en del af browseren, kan vedkommende udnytte denne fejl til at få adgang til resten af din computer — ikke blot browseren. Det kræver, at du besøger en særligt udformet hjemmeside.

Hvem rammer det?

Alle virksomheder og privatpersoner der bruger Google Chrome på en Windows-computer. Det gælder særligt:

  • Medarbejdere der dagligt bruger Chrome til arbejdsopgaver, e-mail og cloud-tjenester
  • Virksomheder der ikke har automatisk opdatering af browsere aktiveret
  • Arbejdspladser med adgang til følsomme systemer via browseren

Sårbarheden er uafhængig af branchetype — bruger du Chrome på Windows, er du potentielt i risikozonen.

Hvad kan ske?

Hvis en angriber udnytter fejlen, kan konsekvenserne være alvorlige:

  • Fuld adgang til computeren: Angriberen kan bryde ud af browserens sikkerhedslag og potentielt overtage hele systemet
  • Datatyveri: Fortrolige filer, adgangskoder og forretningsdokumenter kan stjæles
  • Installation af skadelig software: Ransomware (afpresningssoftware) eller spyware kan installeres uden din viden
  • Videre angreb på virksomhedens netværk: Den kompromitterede computer kan bruges som springbræt til andre systemer

Hvor alvorligt er det?

Sårbarheden er vurderet til 9,6 ud af 10 på den internationale CVSS-skala, hvilket placerer den i kategorien Kritisk. Det skyldes:

  • Angriberen behøver ingen særlige rettigheder for at starte angrebet
  • Angrebet kan udføres over internettet fra hele verden
  • Det er ikke teknisk kompliceret at udnytte fejlen
  • Konsekvenserne rammer fortrolighed, integritet og tilgængelighed fuldt ud

Det eneste, der kræves fra ofrets side, er et enkelt klik på et link til en ondsindet hjemmeside.

Hvad gør jeg nu?

Opdater Google Chrome hurtigst muligt. Det tager under to minutter og beskytter dig effektivt mod denne sårbarhed:

  1. Åbn Google Chrome på din Windows-computer
  2. Klik på de tre prikker øverst til højre i browseren
  3. Vælg Hjælp og derefter Om Google Chrome
  4. Chrome tjekker automatisk for opdateringer — lad den hente og installere version 149.0.7827.53 eller nyere
  5. Genstart browseren når opdateringen er færdig
  6. Gentag processen på alle arbejdscomputere i virksomheden, der bruger Chrome på Windows
Tidsfrist

Opdater inden for 24-48 timer

Sådan ser Auroa det

Du bør opdatere Google Chrome på alle Windows-computere i din virksomhed hurtigst muligt — helst inden for de næste 24-48 timer. Overvej at slå automatisk opdatering til på alle arbejdsmaskiner, så I fremover er beskyttet uden manuel handling. Hvis du er usikker på, om alle computere i virksomheden er opdaterede, kan Auroa hjælpe med en hurtig gennemgang af jeres browserpark.

Tidslinje

04/06/2026
CVE offentliggjort
Google offentliggør CVE-2026-10971 og frigiver samtidig den rettede Chrome-version 149.0.7827.53 til Windows. Sårbarheden beskrives som et sandkasse-escape via Chromes udskriftsfunktion.
04/06/2026
Sikkerhedspatch tilgængelig
Chrome 149.0.7827.53 rulles ud til brugere via Chromes automatiske opdateringsmekanisme. Brugere der ikke har automatisk opdatering aktiveret, skal opdatere manuelt.
05/06/2026
Proof-of-concept kendes
Sikkerhedsforskere bekræfter, at tekniske detaljer om sårbarheden er tilgængelige, hvilket øger risikoen for at angribere aktivt begynder at udnytte fejlen mod ikke-opdaterede systemer.
06/06/2026
Opfordring til øjeblikkelig opdatering
Sikkerhedsmyndigheder og cybersikkerhedseksperter opfordrer virksomheder til at prioritere opdatering af Chrome på alle Windows-enheder inden for 24-48 timer efter offentliggørelsen.

Konkrete eksempler

Phishing-link i arbejdsmail

En medarbejder modtager en e-mail, der ser ud til at komme fra en leverandør, med et link til en ‘faktura’. Hjemmesiden er ondsindet og udnytter fejlen i Chromes udskriftsfunktion. Angriberen bryder ud af browserens sandkasse og installerer software, der giver ham adgang til medarbejderens computer og alle filer på virksomhedens drev.

Kompromitteret reklameannonce

En medarbejder besøger en helt legitim og velkendt hjemmeside, men en af reklamerne på siden er blevet kompromitteret af hackere (såkaldt malvertising). Bare ved at indlæse siden udnyttes Chrome-fejlen, og angriberen får fodfæste på computeren uden at medarbejderen har klikket på noget mistænkeligt.

Ransomware-angreb via browser

En angriber udnytter sandkasse-flugten til at installere ransomware (afpresningssoftware) på en ikke-opdateret Windows-computer. Ransomwaren krypterer alle filer på computeren og spreder sig til virksomhedens netværk. Virksomheden modtager krav om løsepenge for at få adgang til sine egne data igen.

Ofte stillede spørgsmål

Ramte produkter

Google — Chrome

< 149.0.7827.53

Microsoft — Windows

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
REQUIRED
Scope
CHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

CWE-svaghedstyper

CWE-20

Original NVD-beskrivelse (engelsk)

Insufficient validation of untrusted input in Printing in Google Chrome on Windows prior to 149.0.7827.53 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page. (Chromium security severity: High)

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.6
Visning
Hurtige fakta
CVE-ID
CVE-2026-10971
Offentliggjort
04/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdater inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.