CVE-2026-13775
Kritisk

CVE-2026-13775: Kritisk fejl i Google Chrome

Kritisk fejl i Google Chrome lader hackere bryde ud af browserens sikkerhedslag via en ondsindet hjemmeside.

CVSS Score
9.8
Offentliggjort
30/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér i dag — kritisk alvorlighed

Hvad er det?

En alvorlig sikkerhedsfejl er fundet i Google Chrome. Fejlen kaldes ‘use-after-free’ (brug af frigivet hukommelse), hvilket betyder at Chrome ved en fejl genbruger et stykke computerhukommelse, der allerede er blevet frigivet. Det sker i browserens GPU-komponent, som håndterer grafik og billedgengivelse.

En angriber kan udnytte dette til at udføre et såkaldt ‘sandbox escape’ — altså bryde ud af det isolerede sikkerhedsmiljø, som Chrome normalt holder websider indespærret i. Det giver angriberen mulighed for at køre ondsindet kode direkte på din computer.

Hvem rammer det?

Sårbarheden rammer alle, der bruger Google Chrome i en version ældre end 150.0.7871.47 — uanset om du kører Windows, macOS eller Linux. Det gælder både private brugere og medarbejdere i virksomheder. Bruger dine ansatte Chrome som arbejdsbrowser til at tilgå webmail, cloud-systemer eller hjemmesider, er I potentielt i risikozonen.

Hvad kan ske?

Hvis en angriber udnytter fejlen, kan vedkommende:

  • Bryde ud af Chromes sikkerhedsmiljø og få adgang til hele din computer
  • Installere malware eller ransomware uden at du opdager det
  • Stjæle loginoplysninger, filer og forretningskritiske data
  • Få fodfæste i dit netværk og sprede sig til andre systemer

Angrebet kan ske blot ved at din medarbejder besøger en ondsindet hjemmeside — der kræves ingen download eller klik på mistænkelige filer.

Hvor alvorligt er det?

Fejlen er vurderet til CVSS-score 9.8 ud af 10 og klassificeres som kritisk. Det er den højeste alvorlighedsgrad. Angrebet kræver ingen særlige rettigheder, ingen brugerinteraktion og kan udføres over internettet mod alle Chrome-brugere. Google selv har klassificeret den som kritisk i deres eget sikkerhedsprogram.

Hvad gør jeg nu?

Du skal sikre, at alle medarbejdere bruger den nyeste version af Chrome. Sådan gør du:

  1. Opdatér Chrome med det samme: Åbn Chrome, klik på de tre prikker øverst til højre, vælg ‘Hjælp’ og derefter ‘Om Google Chrome’. Chrome søger automatisk efter opdateringer og installerer dem. Genstart browseren bagefter.
  2. Kontrollér versionsnummeret: Efter opdatering skal der stå version 150.0.7871.47 eller nyere. Er det tilfældet, er du beskyttet.
  3. Ryd op på alle enheder: Sørg for at opdatere Chrome på alle computere i virksomheden — også hjemmearbejdspladser og bærbare.
  4. Overvej automatiske opdateringer: Slå automatisk opdatering til i Chrome, så fremtidige sikkerhedsrettelser sker uden manuel indgriben.
  5. Informér dine medarbejdere: Send en kort besked om, at de skal opdatere Chrome i dag og genstarte browseren.
Tidsfrist

Opdatér i dag — kritisk alvorlighed

Sådan ser Auroa det

Opdatér Google Chrome til version 150.0.7871.47 eller nyere på alle virksomhedens enheder i dag. Denne sårbarhed er kritisk og kan udnyttes uden at brugeren gør noget aktivt udover at besøge en hjemmeside. Vent ikke på den næste planlagte vedligeholdelsesrunde — risikoen er for stor. Kontakt os, hvis du har brug for hjælp til at rulle opdateringen ud på tværs af jeres organisation.

Tidslinje

30/06/2026
CVE offentliggjort og patch frigivet
Google udgiver Chrome version 150.0.7871.47 med en rettelse af sårbarheden og offentliggør CVE-2026-13775 med en kritisk CVSS-score på 9.8.
30/06/2026
Chromium sikkerhedsadvisory udsendt
Google klassificerer internt sårbarheden som 'Critical' i deres Chromium-sikkerhedsprogram og informerer offentligheden via deres officielle udgivelsesnoter.
01/07/2026
Sikkerhedsforskere analyserer fejlen
Tekniske detaljer om use-after-free-fejlen i GPU-komponenten begynder at cirkulere i sikkerhedsmiljøet, og proof-of-concept-eksempler forventes at opstå kort efter offentliggørelsen.
02/07/2026
Udbredt opdateringsopfordring
Sikkerhedsorganisationer og CERT-enheder verden over opfordrer organisationer til omgående at opdatere Chrome på alle enheder grundet sårbarehedens kritiske karakter og lave angrebskompleksitet.

Konkrete eksempler

Ondsindet reklame på en normal nyhedsside

En medarbejder besøger en velkendt dansk nyhedsside i arbejdstiden. Siden viser en reklame, der indeholder skjult ondsindet kode. Uden at medarbejderen klikker på noget, udnytter koden Chrome-fejlen, bryder ud af browserens sikkerhedsmiljø og installerer et program, der overvåger tastetryk og sender loginoplysninger til angriberen.

Phishing-link i en e-mail

En medarbejder modtager en tilsyneladende legitim e-mail med et link til en ‘faktura’. Linket fører til en hjemmeside kontrolleret af angriberen. Siden udnytter CVE-2026-13775 til at eksekvere kode på medarbejderens computer og giver angriberen adgang til virksomhedens interne netværk via medarbejderens maskine.

Kompromitteret leverandørside

En af jeres faste leverandørers hjemmesider er selv blevet hacket og indeholder nu skjult kode. Næste gang en medarbejder besøger siden for at bestille varer, udnytter koden Chrome-sårbarheden. Angriberen får adgang til medarbejderens computer og kan herfra forsøge at nå virksomhedens økonomi- eller kundedatasystemer.

Ofte stillede spørgsmål

Ramte produkter

Google — Chrome

< 150.0.7871.47

Apple — Macos

Linux — Linux Kernel

Microsoft — Windows

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-416

Original NVD-beskrivelse (engelsk)

Use after free in GPU in Google Chrome prior to 150.0.7871.47 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page. (Chromium security severity: Critical)

Referencer & kilder

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-13775
Offentliggjort
30/06/2026
Sidst opdateret
01/07/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér i dag — kritisk alvorlighed

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.