CVE-2026-13782
Kritisk

CVE-2026-13782: Kritisk fejl i Google Chrome

Kritisk fejl i Google Chrome giver angribere mulighed for at overtage din computer via en ondsindet hjemmeside.

CVSS Score
10
Offentliggjort
30/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdater straks — inden for 24 timer

Hvad er det?

CVE-2026-13782 er en kritisk sikkerhedsfejl i webbrowseren Google Chrome. Fejlen kaldes teknisk set en use-after-free — det betyder, at Chrome ved en fejl forsøger at bruge et stykke computerhukommelse, efter det allerede er blevet frigivet. Det kan udnyttes af en angriber til at køre skadelig kode på din computer. Det farlige ved denne fejl er, at angriberen kan bryde ud af Chromes sikkerhedssandkasse (det beskyttede område, som browseren normalt kører i), og dermed få fuld adgang til resten af dit system. Fejlen kræver ingen handling fra dig ud over at besøge en ondsindet hjemmeside.

Hvem rammer det?

Fejlen rammer alle, der bruger Google Chrome i en version ældre end 150.0.7871.47, uanset om computeren kører Windows, macOS eller Linux. Det betyder, at både private brugere og medarbejdere i virksomheder er i fare, så længe de ikke har opdateret deres browser. Særligt udsatte er virksomheder, hvor medarbejdere dagligt bruger Chrome til at tilgå hjemmesider, webmail eller cloud-tjenester.

Hvad kan ske?

Hvis en angriber udnytter fejlen, kan følgende ske:

  • Angriberen kan bryde ud af browserens sikkerhedssandkasse og få fuld kontrol over din computer.
  • Følsomme data, som adgangskoder, filer og forretningsinformation, kan blive stjålet.
  • Der kan installeres skadelig software (f.eks. ransomware eller spyware) på din computer uden din viden.
  • Angrebet kan spredes til andre systemer i dit netværk.

Alt dette kan ske blot ved, at en medarbejder besøger en hjemmeside, som angriberen kontrollerer — ingen klik på vedhæftede filer er nødvendige.

Hvor alvorligt er det?

Denne sårbarhed har fået den højest mulige CVSS-score på 10 ud af 10 og er klassificeret som kritisk. Det skyldes, at:

  • Angrebet kan udføres over internettet uden særlige tekniske forudsætninger.
  • Angriberen behøver ingen adgangskoder eller særlige rettigheder for at udnytte fejlen.
  • Brugeren behøver ikke klikke på noget — det er nok at besøge en ondsindet side.
  • Angriberen kan opnå fuld kontrol over fortrolighed, integritet og tilgængelighed af dine data og systemer.

Google selv vurderer alvorligheden som kritisk. Opdater Chrome øjeblikkeligt.

Hvad gør jeg nu?

Du skal opdatere Google Chrome på alle computere i din virksomhed så hurtigt som muligt. Sådan gør du:

  1. Åbn Google Chrome på din computer.
  2. Klik på de tre prikker øverst til højre i browservinduet.
  3. Vælg Hjælp og derefter Om Google Chrome.
  4. Chrome tjekker automatisk for opdateringer og installerer dem. Vent til det er færdigt.
  5. Klik på Genstart for at aktivere opdateringen.
  6. Kontrollér at versionen nu er 150.0.7871.47 eller nyere.
  7. Gentag processen på alle arbejdscomputere i virksomheden — herunder bærbare og hjemmearbejdspladser, der tilgår virksomhedens systemer.
Tidsfrist

Opdater straks — inden for 24 timer

Sådan ser Auroa det

Hos Auroa anbefaler vi, at du behandler denne opdatering som en hastesag og sikrer, at Chrome er opdateret på samtlige enheder i din virksomhed inden for 24 timer. Overvej at indføre automatiske browseropgraderinger som en fast politik, så fremtidige kritiske fejl håndteres hurtigere. Har du brug for hjælp til at rulle opdateringen ud på tværs af mange computere, er du velkommen til at kontakte os.

Tidslinje

30/06/2026
CVE offentliggjort
National Vulnerability Database (NVD) offentliggør CVE-2026-13782 med en CVSS-score på 10 (kritisk). Google bekræfter fejlen i Chrome.
30/06/2026
Patch udgivet af Google
Google udgiver Chrome version 150.0.7871.47, som lukker sårbarheden. Opdateringen er tilgængelig via Chromes indbyggede opdateringsfunktion.
01/07/2026
Proof-of-concept tilgængeligt
Tekniske detaljer og proof-of-concept kode cirkulerer i sikkerhedsmiljøet, hvilket øger risikoen for aktiv udnyttelse markant.
02/07/2026
Øget risiko for aktive angreb
Med offentligt tilgængelig exploit-kode stiger sandsynligheden for, at kriminelle grupper begynder at udnytte fejlen aktivt mod ikke-opdaterede brugere.

Konkrete eksempler

Ondsindet reklamebanner på en legitim hjemmeside

En angriber køber reklameplads på en populær dansk nyhedsside og lægger et ondsindet reklamebanner op. Når en medarbejder i din virksomhed besøger nyhedssiden i Chrome, udnytter bannerets kode CVE-2026-13782 til at bryde ud af browserens sandkasse. Angriberen får dermed adgang til medarbejderens computer og kan herfra bevæge sig videre ind i virksomhedens systemer.

Phishing-link i en e-mail

En medarbejder modtager en tilsyneladende harmløs e-mail med et link til en hjemmeside, der ser ud til at tilhøre en samarbejdspartner. Siden er imidlertid oprettet af en angriber og indeholder skjult kode, der udnytter fejlen i Chrome. Blot ved at åbne linket i browseren kompromitteres medarbejderens computer, og angriberen kan installere ransomware på virksomhedens netværk.

Kompromitteret webshop eller leverandørside

En angriber bryder ind på en webshop, som dine medarbejdere jævnligt bruger til at bestille kontorartikler. Angriberen indlejrer skadelig kode på siden. Næste gang en medarbejder besøger siden i en ikke-opdateret Chrome-browser, aktiveres udnyttelsen automatisk. Angriberen kan herefter stjæle login-oplysninger til virksomhedens systemer direkte fra computerens hukommelse.

Ofte stillede spørgsmål

Ramte produkter

Google — Chrome

< 150.0.7871.46

Apple — Macos

Linux — Linux Kernel

Microsoft — Windows

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
CHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

CWE-svaghedstyper

CWE-416

Original NVD-beskrivelse (engelsk)

Use after free in Browser in Google Chrome prior to 150.0.7871.47 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page. (Chromium security severity: Critical)

Referencer & kilder

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
10
Visning
Hurtige fakta
CVE-ID
CVE-2026-13782
Offentliggjort
30/06/2026
Sidst opdateret
02/07/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdater straks — inden for 24 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.