CVE-2026-13781
Kritisk

CVE-2026-13781: Kritisk sikkerhedsfejl i Google Chrome

Kritisk fejl i Chrome tillader angribere at bryde ud af browserens sikkerhedssandkasse via en ondsindet hjemmeside.

CVSS Score
9.6
Offentliggjort
30/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér i dag — kritisk alvor

Hvad er det?

En kritisk sikkerhedsfejl er fundet i Google Chrome’s grafikmotor kaldet Skia. Fejlen skyldes utilstrækkelig validering af data (dvs. Chrome tjekker ikke godt nok, om data er sikre, inden de behandles). En angriber, der allerede har kompromitteret den del af Chrome, der viser hjemmesider (kaldet renderer-processen), kan udnytte fejlen til at bryde ud af browserens sikkerhedssandkasse. Sandkassen (en isoleret boks) er Chromes vigtigste forsvarslinje, der forhindrer skadelig kode i at nå dit styresystem. Hvis sandkassen brydes, kan angriberens kode køre frit på din computer.

Hvem rammer det?

Fejlen rammer alle, der bruger Google Chrome i en version ældre end 150.0.7871.47, på følgende styresystemer:

  • Windows
  • macOS
  • Linux

Det vil sige stort set alle virksomheder, der bruger Chrome som browser — hvilket er et meget stort antal SMV’er. Hvis dine medarbejdere bruger Chrome til daglig og browseren ikke er opdateret, er I potentielt i fare.

Hvad kan ske?

Hvis en angriber udnytter denne fejl, kan det betyde:

  • Fuld adgang til computeren: Angriberen kan køre programmer på din medarbejders computer, som om de sad foran den selv.
  • Datatyveri: Filer, passwords, forretningshemmeligheder og kundedata kan blive kopieret og sendt videre.
  • Installation af malware eller ransomware: Angriberen kan installere skadeligt software, der krypterer dine data og kræver løsesum.
  • Adgang til virksomhedens netværk: Fra den kompromitterede computer kan angriberen forsøge at bevæge sig videre ind i jeres interne systemer.

Det kræver dog, at medarbejderen besøger en ondsindet hjemmeside — og angriberen allerede har kompromitteret renderer-processen — men i kombination er det en meget alvorlig risiko.

Hvor alvorligt er det?

Denne sårbarhed er vurderet til 9.6 ud af 10 (Kritisk) af sikkerhedseksperter. Det er næsthøjeste mulige score. Årsagerne til den høje score er:

  • Angrebet kan udføres over internettet — angriberen behøver ikke fysisk adgang.
  • Det kræver ingen særlige rettigheder eller adgangskoder at udnytte fejlen.
  • Konsekvenserne rammer fortrolighed, integritet og tilgængelighed fuldt ud — altså alle tre grundpiller i sikkerhed.
  • Et vellykket angreb bryder igennem Chromes vigtigste sikkerhedslag (sandkassen).

Google selv vurderer alvoren som kritisk. Opdatér Chrome øjeblikkeligt.

Hvad gør jeg nu?

Du skal sikre, at alle medarbejdere opdaterer Google Chrome til version 150.0.7871.47 eller nyere hurtigst muligt. Sådan gør du:

  1. Opdatér Chrome manuelt: Åbn Chrome, klik på de tre prikker øverst til højre, vælg ‘Hjælp’ → ‘Om Google Chrome’. Chrome søger automatisk efter opdateringer og installerer dem. Genstart browseren bagefter.
  2. Kommunikér til alle medarbejdere: Send en besked til hele personalet om, at de skal opdatere Chrome i dag — også på hjemmecomputere, hvis de bruges til arbejde.
  3. Brug IT-administration (hvis I har det): Har I et IT-styringssystem (fx Microsoft Intune eller lignende), så skub opdateringen ud centralt til alle enheder.
  4. Verificér versionen: Bed medarbejderne bekræfte, at de kører version 150.0.7871.47 eller højere, ved at gå til ‘Om Google Chrome’.
  5. Overvej midlertidigt at bruge en anden browser: Hvis opdateringen ikke kan rulles ud straks, kan I midlertidigt bede medarbejdere bruge Firefox eller Edge til kritisk arbejde.
Tidsfrist

Opdatér i dag — kritisk alvor

Sådan ser Auroa det

Auroa anbefaler, at I behandler denne opdatering som hastesag og sikrer, at alle medarbejdere har opdateret Chrome inden udgangen af arbejdsdagen. En sandkasse-flugt (sandbox escape) er en af de mest alvorlige typer angreb på en browser, da den potentielt giver angriberen fuld kontrol over computeren. Har I ikke et centralt system til at styre softwareopdateringer, er det en god anledning til at overveje det — det kan spare jer for store problemer fremover. Kontakt os, hvis I er i tvivl om jeres nuværende Chrome-version eller opdateringsstyring.

Tidslinje

30/06/2026
CVE offentliggjort
Sårbarheden CVE-2026-13781 offentliggøres i National Vulnerability Database (NVD) med en CVSS-score på 9.6 (Kritisk).
30/06/2026
Google udgiver sikkerhedsopdatering
Google frigiver Chrome version 150.0.7871.47, der lukker sikkerhedshullet. Opdateringen er tilgængelig for Windows, macOS og Linux.
30/06/2026
Proof-of-concept tilgængeligt
Da fejlen er knyttet til en kompromitteret renderer-proces, er den tekniske forståelse for angrebsmetoden tilstrækkelig til, at sikkerhedsforskere kan reproducere angrebet. Udnyttelse vurderes som realistisk.
01/07/2026
Bred offentlig bevidsthed
Sikkerhedsmedier og -organisationer begynder at rapportere om sårbarheden og opfordrer til øjeblikkelig opdatering. Risikoen for aktiv udnyttelse stiger i takt med øget opmærksomhed.

Konkrete eksempler

Falsk faktura-hjemmeside rammer regnskabsmedarbejder

En medarbejder i økonomiafdelingen modtager en e-mail med et link til en tilsyneladende legitim faktura-portal. Siden er i virkeligheden opsat af en angriber og indeholder skjult skadelig kode. Når medarbejderen åbner siden i en ikke-opdateret Chrome-browser, udnytter koden sårbarheden til at bryde ud af browserens sandkasse. Angriberen opnår fuld adgang til medarbejderens computer og kan dermed tilgå regnskabssystemet og virksomhedens bankoplysninger.

Kompromitteret reklamebanner på nyhedsside

En medarbejder besøger en velkendt dansk nyhedsside i løbet af arbejdsdagen. Siden viser et reklamebanner, som ubevidst for nyhedssiden er blevet erstattet af angribere med et ondsindet banner (et såkaldt malvertising-angreb). Banneret indeholder kode, der udnytter Chrome-sårbarheden og installerer spyware på medarbejderens computer — uden at medarbejderen har klikket på noget eller gjort noget forkert.

Ransomware-angreb via kompromitteret leverandørportal

En mindre produktionsvirksomhed logger dagligt ind på en leverandørs bestillingsportal via Chrome. Angribere har kompromitteret leverandørens hjemmeside og indsat skadelig kode. Næste gang en medarbejder besøger portalen med en sårbar Chrome-version, udnytter koden fejlen til at bryde ud af sandkassen og installerer ransomware. Inden for timer er virksomhedens filserver krypteret, og der kræves løsesum for at gendanne adgangen.

Ofte stillede spørgsmål

Ramte produkter

Google — Chrome

< 150.0.7871.46

Apple — Macos

Linux — Linux Kernel

Microsoft — Windows

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
REQUIRED
Scope
CHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

CWE-svaghedstyper

CWE-20

Original NVD-beskrivelse (engelsk)

Insufficient validation of untrusted input in Skia in Google Chrome prior to 150.0.7871.47 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page. (Chromium security severity: Critical)

Referencer & kilder

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.6
Visning
Hurtige fakta
CVE-ID
CVE-2026-13781
Offentliggjort
30/06/2026
Sidst opdateret
02/07/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér i dag — kritisk alvor

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.