CVE-2026-10971: Kritisk Chrome-fejl på Windows
Kritisk fejl i Google Chrome på Windows lader hackere bryde ud af browserens sikkerhedslag via en ondsindet hjemmeside.
Hvad er det?
En kritisk sårbarhed i Google Chrome på Windows gør det muligt for en angriber at slippe ud af browserens såkaldte sandkasse (et isoleret sikkerhedsområde, der normalt holder skadelig kode indespærret). Fejlen opstår i Chromes udskriftsfunktion, som ikke håndterer farligt indhold korrekt. Hvis en angriber allerede har kompromitteret en del af browseren, kan vedkommende udnytte denne fejl til at få adgang til resten af din computer — ikke blot browseren. Det kræver, at du besøger en særligt udformet hjemmeside.
Hvem rammer det?
Alle virksomheder og privatpersoner der bruger Google Chrome på en Windows-computer. Det gælder særligt:
- Medarbejdere der dagligt bruger Chrome til arbejdsopgaver, e-mail og cloud-tjenester
- Virksomheder der ikke har automatisk opdatering af browsere aktiveret
- Arbejdspladser med adgang til følsomme systemer via browseren
Sårbarheden er uafhængig af branchetype — bruger du Chrome på Windows, er du potentielt i risikozonen.
Hvad kan ske?
Hvis en angriber udnytter fejlen, kan konsekvenserne være alvorlige:
- Fuld adgang til computeren: Angriberen kan bryde ud af browserens sikkerhedslag og potentielt overtage hele systemet
- Datatyveri: Fortrolige filer, adgangskoder og forretningsdokumenter kan stjæles
- Installation af skadelig software: Ransomware (afpresningssoftware) eller spyware kan installeres uden din viden
- Videre angreb på virksomhedens netværk: Den kompromitterede computer kan bruges som springbræt til andre systemer
Hvor alvorligt er det?
Sårbarheden er vurderet til 9,6 ud af 10 på den internationale CVSS-skala, hvilket placerer den i kategorien Kritisk. Det skyldes:
- Angriberen behøver ingen særlige rettigheder for at starte angrebet
- Angrebet kan udføres over internettet fra hele verden
- Det er ikke teknisk kompliceret at udnytte fejlen
- Konsekvenserne rammer fortrolighed, integritet og tilgængelighed fuldt ud
Det eneste, der kræves fra ofrets side, er et enkelt klik på et link til en ondsindet hjemmeside.
Hvad gør jeg nu?
Opdater Google Chrome hurtigst muligt. Det tager under to minutter og beskytter dig effektivt mod denne sårbarhed:
- Åbn Google Chrome på din Windows-computer
- Klik på de tre prikker øverst til højre i browseren
- Vælg Hjælp og derefter Om Google Chrome
- Chrome tjekker automatisk for opdateringer — lad den hente og installere version 149.0.7827.53 eller nyere
- Genstart browseren når opdateringen er færdig
- Gentag processen på alle arbejdscomputere i virksomheden, der bruger Chrome på Windows
Opdater inden for 24-48 timer
Du bør opdatere Google Chrome på alle Windows-computere i din virksomhed hurtigst muligt — helst inden for de næste 24-48 timer. Overvej at slå automatisk opdatering til på alle arbejdsmaskiner, så I fremover er beskyttet uden manuel handling. Hvis du er usikker på, om alle computere i virksomheden er opdaterede, kan Auroa hjælpe med en hurtig gennemgang af jeres browserpark.
Tidslinje
Konkrete eksempler
Phishing-link i arbejdsmail
En medarbejder modtager en e-mail, der ser ud til at komme fra en leverandør, med et link til en ‘faktura’. Hjemmesiden er ondsindet og udnytter fejlen i Chromes udskriftsfunktion. Angriberen bryder ud af browserens sandkasse og installerer software, der giver ham adgang til medarbejderens computer og alle filer på virksomhedens drev.
Kompromitteret reklameannonce
En medarbejder besøger en helt legitim og velkendt hjemmeside, men en af reklamerne på siden er blevet kompromitteret af hackere (såkaldt malvertising). Bare ved at indlæse siden udnyttes Chrome-fejlen, og angriberen får fodfæste på computeren uden at medarbejderen har klikket på noget mistænkeligt.
Ransomware-angreb via browser
En angriber udnytter sandkasse-flugten til at installere ransomware (afpresningssoftware) på en ikke-opdateret Windows-computer. Ransomwaren krypterer alle filer på computeren og spreder sig til virksomhedens netværk. Virksomheden modtager krav om løsepenge for at få adgang til sine egne data igen.
Ofte stillede spørgsmål
Skal jeg stoppe med at bruge Chrome, indtil jeg har opdateret?
Hvis det er muligt, er det en god idé at undgå at klikke på ukendte links eller besøge nye hjemmesider, indtil du har opdateret. Bruger du Chrome til kritiske arbejdsopgaver, bør opdateringen have topprioritet — den tager under to minutter. En alternativ browser som Edge eller Firefox kan bruges i mellemtiden.
Hvad er en sandkasse, og hvorfor er det farligt, at en angriber bryder ud af den?
En sandkasse (engelsk: sandbox) er et isoleret område i browseren, hvor hjemmesider kører adskilt fra resten af din computer. Idéen er, at selv hvis en hjemmeside er ondsindet, kan den ikke gøre skade uden for sandkassen. Når en angriber ‘bryder ud’, kan vedkommende pludselig tilgå hele computeren — og ikke blot browseren.
Gælder fejlen også Mac og Linux?
Nej, denne specifikke sårbarhed er kun bekræftet på Google Chrome kørende på Windows. Bruger du Chrome på Mac eller Linux, er du ikke ramt af netop denne fejl. Du bør dog altid holde Chrome opdateret uanset styresystem.
Hvordan ved jeg, hvilken version af Chrome jeg kører?
Klik på de tre prikker øverst til højre i Chrome, vælg Hjælp og derefter Om Google Chrome. Her kan du se det aktuelle versionsnummer. Du skal have version 149.0.7827.53 eller nyere for at være beskyttet.
Er min virksomhed i fare, hvis vi bruger en administreret Chrome-installation?
Ja, medmindre jeres IT-afdeling eller leverandør allerede har udskubbet opdateringen centralt. Kontakt ansvarlig IT-person eller leverandør og bekræft, at alle computere er opdateret til den sikre version. Vent ikke på, at det sker af sig selv.
Ramte produkter
Google — Chrome
< 149.0.7827.53
Microsoft — Windows
–
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Insufficient validation of untrusted input in Printing in Google Chrome on Windows prior to 149.0.7827.53 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page. (Chromium security severity: High)
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
