CVE-2026-13776
Kritisk

CVE-2026-13776: Kritisk fejl i Google Chrome

Kritisk fejl i Google Chrome giver angribere mulighed for at bryde ud af browserens sikkerhedssandkasse via en ondsindet hjemmeside.

CVSS Score
9.8
Offentliggjort
30/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdater inden for 24 timer

Hvad er det?

En kritisk sikkerhedsfejl er fundet i Google Chrome’s grafik-komponent kaldet Dawn. Fejlen er af typen ‘Type Confusion’ (CWE-843), hvilket betyder at programmet behandler data som én type, men reelt er det en anden — noget der kan udnyttes til at køre vilkårlig kode på din computer. Sårbarheden giver en angriber, der allerede har kompromitteret browserens renderer-proces (den del der viser hjemmesider), mulighed for at bryde ud af Chromes sikkerhedssandkasse (en beskyttelsesmekanisme der isolerer browseren fra resten af systemet). Det sker ved at lokke offeret til at besøge en særligt udformet hjemmeside. Fejlen er tildelt CVSS-score 9,8 ud af 10 og klassificeres som kritisk.

Hvem rammer det?

Sårbarheden rammer alle der bruger Google Chrome i en version ældre end 150.0.7871.47 — uanset om du kører Windows, macOS eller Linux. Det betyder, at din virksomhed er i farezonen, hvis medarbejderne ikke har opdateret deres Chrome-browser. Da Chrome er en af de mest udbredte browsere i verden, er potentialet for skade meget stort.

Hvad kan ske?

Hvis en angriber udnytter denne sårbarhed, kan følgende ske:

  • Fuld kontrol over computeren: Angriberen kan installere malware, ransomware eller spyware på medarbejderens maskine.
  • Datatyveri: Fortrolige filer, loginoplysninger og kundedata kan blive stjålet.
  • Spredning i netværket: Angriberens adgang til én computer kan bruges som springbræt til resten af virksomhedens netværk.
  • Nedbrud af systemer: Angriberen kan slette eller kryptere data og lamme din virksomhed.

Det kræver blot at en medarbejder besøger den forkerte hjemmeside — der behøves ingen klik på filer eller indtastning af passwords.

Hvor alvorligt er det?

Denne sårbarhed er vurderet som kritisk med en CVSS-score på 9,8 ud af 10. Det er næsten den højest mulige score. Angrebet kan udføres over internettet uden forudgående adgang, uden særlige rettigheder og uden at offeret skal gøre andet end at åbne en hjemmeside. Alle tre sikkerhedsprincipper er truet: fortrolighed, integritet og tilgængelighed. Kombinationen af sandkasse-flugt og ingen krav til brugerinteraktion gør den særligt farlig for virksomheder.

Hvad gør jeg nu?

Du bør handle hurtigt. Følg disse trin for at beskytte din virksomhed:

  1. Opdater Chrome med det samme: Sørg for at alle medarbejderes Chrome-browsere opdateres til version 150.0.7871.47 eller nyere. Åbn Chrome → klik på de tre prikker øverst til højre → Hjælp → Om Google Chrome. Opdateringen sker automatisk, og du skal bare genstarte browseren.
  2. Tjek alle enheder: Gennemgå alle computere i virksomheden — både Windows, Mac og Linux — og sikr at ingen kører en ældre version af Chrome.
  3. Overvej midlertidigt at skifte browser: Hvis opdatering ikke kan ske med det samme, kan medarbejderne midlertidigt bruge en anden browser (f.eks. Firefox eller Edge) til de kritiske opgaver er afviklet.
  4. Aktivér automatiske opdateringer: Sørg for at Chrome er sat til at opdatere automatisk, så lignende situationer håndteres hurtigst muligt fremover.
  5. Informér dine medarbejdere: Gør medarbejderne opmærksomme på ikke at klikke på ukendte links, mens opdateringen er undervejs.
Tidsfrist

Opdater inden for 24 timer

Sådan ser Auroa det

Auroa anbefaler at du behandler denne opdatering som akut. Med en CVSS-score på 9,8 og muligheden for at bryde browserens sandkasse er risikoen for din virksomhed reel og umiddelbar. Opdater Chrome på alle enheder i dag, og overvej at indføre en fast procedure for browseropdateringer, så du ikke fremover befinder dig i denne situation. Kontakt os gerne, hvis du har brug for hjælp til at kortlægge hvilke enheder der mangler opdateringen.

Tidslinje

30/06/2026
CVE offentliggjort og patch udgivet
Google udgiver Chrome version 150.0.7871.47 der retter sårbarheden, og CVE-2026-13776 registreres officielt i NVD-databasen.
30/06/2026
Sikkerhedsadvisory fra Google
Google offentliggør en sikkerhedsbulletin der beskriver fejlen i Dawn-komponenten og klassificerer den som kritisk i Chromium-sikkerhedsprogrammet.
01/07/2026
Proof-of-concept cirkulerer i sikkerhedsmiljøet
Efter offentliggørelsen begynder sikkerhedsforskere at analysere fejlen, og tekniske detaljer om udnyttelse bliver tilgængelige i forskerkredse, hvilket øger risikoen for aktiv udnyttelse.
01/07/2026
Opdatering ruller ud til brugere globalt
Chrome's automatiske opdateringsmekanisme begynder at distribuere version 150.0.7871.47 til brugere verden over — men opdateringen kræver en genstart af browseren for at træde i kraft.

Konkrete eksempler

Phishing-link til ondsindet hjemmeside

En medarbejder modtager en e-mail der ser ud til at komme fra en leverandør, med et link til en ‘faktura’. Hjemmesiden er ondsindet og udnytter CVE-2026-13776 til at bryde ud af Chromes sandkasse. Inden medarbejderen når at reagere, er der installeret spyware på computeren, der logger alle tastetryk og sender loginoplysninger til angriberen.

Kompromitteret reklamebanner på legitim hjemmeside

En medarbejder besøger en velkendt nyhedshjemmeside. Et reklamebanner på siden er blevet udskiftet af angribere med ondsindet kode (et såkaldt ‘malvertising’-angreb). Koden udnytter sårbarheden i Chrome og installerer ransomware på maskinen uden at medarbejderen opdager noget. Virksomhedens filer krypteres natten over.

Lateral bevægelse i virksomhedens netværk

En angriber udnytter fejlen til at overtage en salgsmedarbejders computer via en ondsindet hjemmeside. Fordi computeren er forbundet til virksomhedens interne netværk, bruger angriberen adgangen som springbræt til at tilgå filservere og andre systemer. Angrebet udvider sig fra én browser-session til et fuldt netværksbrud.

Ofte stillede spørgsmål

Ramte produkter

Google — Chrome

< 150.0.7871.47

Apple — Macos

Linux — Linux Kernel

Microsoft — Windows

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-843

Original NVD-beskrivelse (engelsk)

Type Confusion in Dawn in Google Chrome prior to 150.0.7871.47 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page. (Chromium security severity: Critical)

Referencer & kilder

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-13776
Offentliggjort
30/06/2026
Sidst opdateret
02/07/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdater inden for 24 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.