CVE-2026-13776: Kritisk fejl i Google Chrome
Kritisk fejl i Google Chrome giver angribere mulighed for at bryde ud af browserens sikkerhedssandkasse via en ondsindet hjemmeside.
Hvad er det?
En kritisk sikkerhedsfejl er fundet i Google Chrome’s grafik-komponent kaldet Dawn. Fejlen er af typen ‘Type Confusion’ (CWE-843), hvilket betyder at programmet behandler data som én type, men reelt er det en anden — noget der kan udnyttes til at køre vilkårlig kode på din computer. Sårbarheden giver en angriber, der allerede har kompromitteret browserens renderer-proces (den del der viser hjemmesider), mulighed for at bryde ud af Chromes sikkerhedssandkasse (en beskyttelsesmekanisme der isolerer browseren fra resten af systemet). Det sker ved at lokke offeret til at besøge en særligt udformet hjemmeside. Fejlen er tildelt CVSS-score 9,8 ud af 10 og klassificeres som kritisk.
Hvem rammer det?
Sårbarheden rammer alle der bruger Google Chrome i en version ældre end 150.0.7871.47 — uanset om du kører Windows, macOS eller Linux. Det betyder, at din virksomhed er i farezonen, hvis medarbejderne ikke har opdateret deres Chrome-browser. Da Chrome er en af de mest udbredte browsere i verden, er potentialet for skade meget stort.
Hvad kan ske?
Hvis en angriber udnytter denne sårbarhed, kan følgende ske:
- Fuld kontrol over computeren: Angriberen kan installere malware, ransomware eller spyware på medarbejderens maskine.
- Datatyveri: Fortrolige filer, loginoplysninger og kundedata kan blive stjålet.
- Spredning i netværket: Angriberens adgang til én computer kan bruges som springbræt til resten af virksomhedens netværk.
- Nedbrud af systemer: Angriberen kan slette eller kryptere data og lamme din virksomhed.
Det kræver blot at en medarbejder besøger den forkerte hjemmeside — der behøves ingen klik på filer eller indtastning af passwords.
Hvor alvorligt er det?
Denne sårbarhed er vurderet som kritisk med en CVSS-score på 9,8 ud af 10. Det er næsten den højest mulige score. Angrebet kan udføres over internettet uden forudgående adgang, uden særlige rettigheder og uden at offeret skal gøre andet end at åbne en hjemmeside. Alle tre sikkerhedsprincipper er truet: fortrolighed, integritet og tilgængelighed. Kombinationen af sandkasse-flugt og ingen krav til brugerinteraktion gør den særligt farlig for virksomheder.
Hvad gør jeg nu?
Du bør handle hurtigt. Følg disse trin for at beskytte din virksomhed:
- Opdater Chrome med det samme: Sørg for at alle medarbejderes Chrome-browsere opdateres til version 150.0.7871.47 eller nyere. Åbn Chrome → klik på de tre prikker øverst til højre → Hjælp → Om Google Chrome. Opdateringen sker automatisk, og du skal bare genstarte browseren.
- Tjek alle enheder: Gennemgå alle computere i virksomheden — både Windows, Mac og Linux — og sikr at ingen kører en ældre version af Chrome.
- Overvej midlertidigt at skifte browser: Hvis opdatering ikke kan ske med det samme, kan medarbejderne midlertidigt bruge en anden browser (f.eks. Firefox eller Edge) til de kritiske opgaver er afviklet.
- Aktivér automatiske opdateringer: Sørg for at Chrome er sat til at opdatere automatisk, så lignende situationer håndteres hurtigst muligt fremover.
- Informér dine medarbejdere: Gør medarbejderne opmærksomme på ikke at klikke på ukendte links, mens opdateringen er undervejs.
Opdater inden for 24 timer
Auroa anbefaler at du behandler denne opdatering som akut. Med en CVSS-score på 9,8 og muligheden for at bryde browserens sandkasse er risikoen for din virksomhed reel og umiddelbar. Opdater Chrome på alle enheder i dag, og overvej at indføre en fast procedure for browseropdateringer, så du ikke fremover befinder dig i denne situation. Kontakt os gerne, hvis du har brug for hjælp til at kortlægge hvilke enheder der mangler opdateringen.
Tidslinje
Konkrete eksempler
Phishing-link til ondsindet hjemmeside
En medarbejder modtager en e-mail der ser ud til at komme fra en leverandør, med et link til en ‘faktura’. Hjemmesiden er ondsindet og udnytter CVE-2026-13776 til at bryde ud af Chromes sandkasse. Inden medarbejderen når at reagere, er der installeret spyware på computeren, der logger alle tastetryk og sender loginoplysninger til angriberen.
Kompromitteret reklamebanner på legitim hjemmeside
En medarbejder besøger en velkendt nyhedshjemmeside. Et reklamebanner på siden er blevet udskiftet af angribere med ondsindet kode (et såkaldt ‘malvertising’-angreb). Koden udnytter sårbarheden i Chrome og installerer ransomware på maskinen uden at medarbejderen opdager noget. Virksomhedens filer krypteres natten over.
Lateral bevægelse i virksomhedens netværk
En angriber udnytter fejlen til at overtage en salgsmedarbejders computer via en ondsindet hjemmeside. Fordi computeren er forbundet til virksomhedens interne netværk, bruger angriberen adgangen som springbræt til at tilgå filservere og andre systemer. Angrebet udvider sig fra én browser-session til et fuldt netværksbrud.
Ofte stillede spørgsmål
Behøver jeg gøre noget, hvis Chrome opdaterer sig selv automatisk?
Automatisk opdatering er en god ting, men den kræver at browseren genstartes for at træde i kraft. Selvom opdateringen er downloadet, er du ikke beskyttet før Chrome faktisk er genstartet. Bed dine medarbejdere om at genstarte Chrome i dag og bekræfte at de kører version 150.0.7871.47 eller nyere.
Vi bruger også Microsoft Edge — er vi i fare?
Microsoft Edge er baseret på den samme Chromium-kerne som Chrome, men er et separat produkt med sine egne opdateringer. Denne specifikke CVE er rettet mod Chromes Dawn-komponent. Du bør holde øje med om Microsoft udsender en tilsvarende patch til Edge, og sørge for at Edge også holdes opdateret løbende.
Hvad er en 'sandkasse', og hvorfor er det et problem at bryde ud af den?
En sandkasse (engelsk: sandbox) er en sikkerhedsmekanisme der isolerer browseren fra resten af din computer. Tanken er at selv hvis en hjemmeside indeholder skadelig kode, så kan den ikke påvirke dine filer eller programmer uden for browseren. Når en angriber ‘bryder ud af sandkassen’, mister du denne beskyttelse, og angriberen kan tilgå hele dit system som om de sad foran computeren.
Kan vores antivirus-program beskytte os mod dette angreb?
Antivirus kan i nogle tilfælde opdage og blokere kendte angrebsmønstre, men det er ikke en pålidelig erstatning for en opdateret browser. Denne type angreb foregår direkte i browseren og kan være svær at opdage i tide. Den eneste sikre beskyttelse er at opdatere Chrome til den rettede version.
Skal jeg bekymre mig, hvis vi kun bruger webbaserede programmer (SaaS)?
Ja, faktisk er risikoen ekstra relevant her. Hvis jeres medarbejdere primært arbejder i browseren med programmer som Microsoft 365, e-mail eller jeres fagsystem, betyder det at de tilbringer meget tid online — og dermed er eksponeret for potentielt ondsindede hjemmesider. En kompromitteret browser kan også give adgang til gemte passwords og aktive login-sessioner i de webbaserede programmer.
Hvordan ved jeg om vi allerede er blevet angrebet?
Det kan være svært at opdage uden specialiserede sikkerhedsværktøjer. Tegn på et angreb kan være uforklarlig langsomhed, ukendte programmer der starter op, eller mistænkelig netværkstrafik. Hvis du har mistanke om at en enhed er kompromitteret, bør du isolere computeren fra netværket og kontakte en IT-sikkerhedsekspert. Auroa kan hjælpe med at vurdere situationen.
Ramte produkter
Google — Chrome
< 150.0.7871.47
Apple — Macos
–
Linux — Linux Kernel
–
Microsoft — Windows
–
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Type Confusion in Dawn in Google Chrome prior to 150.0.7871.47 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page. (Chromium security severity: Critical)
Referencer & kilder
Officielle advisories
Eksterne kilder
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
