CVE-2026-13777: Kritisk fejl i Google Chrome til iOS
Kritisk fejl i Google Chrome på iOS kan give angribere fuld kontrol over din enhed via en ondsindet hjemmeside.
Hvad er det?
CVE-2026-13777 er en sikkerhedsfejl i Google Chrome til iOS-enheder (iPhone og iPad). Fejlen skyldes mangelfuld validering (kontrol) af inddata fra nettet i en komponent kaldet iOSWeb. Det betyder, at Chrome ikke tjekker tilstrækkeligt, om indhold fra en hjemmeside er sikkert, før det behandles. En angriber kan udnytte dette til at forårsage såkaldt heap corruption — en type fejl i enhedens hukommelse — som kan give angriberen fuld kontrol over enheden. Fejlen kræver, at du besøger en ondsindet hjemmeside, men kræver ikke, at du downloader noget eller indtaster nogen oplysninger.
Hvem rammer det?
Sårbarheden rammer alle, der bruger Google Chrome på en iPhone eller iPad med en version ældre end 150.0.7871.47. Hvis din virksomhed bruger iOS-enheder til arbejde — fx til e-mail, kalender, bankforretninger eller kundesystemer — og medarbejderne bruger Chrome som browser, er I potentielt i farezonen. Det gælder både privatejede telefoner, der bruges til arbejde (BYOD), og virksomhedsudstedte enheder.
Hvad kan ske?
Hvis en angriber udnytter denne fejl, kan vedkommende potentielt:
- Overtage fuld kontrol over den ramte iOS-enhed
- Stjæle adgangskoder, cookies og loginoplysninger gemt i browseren
- Tilgå virksomhedens systemer og data, som enheden har adgang til
- Installere skadelig software (malware) på enheden
- Aflytte kommunikation og filer på enheden
Konsekvensen kan være datalæk, brud på GDPR-regler og tab af forretningskritisk information.
Hvor alvorligt er det?
Sårbarheden har en CVSS-score på 8.8 ud af 10, hvilket klassificeres som alvorlig. Googles eget sikkerhedsteam har internt vurderet den som kritisk. Angrebet kan udføres over nettet uden særlige tekniske forudsætninger, og angriberen behøver ingen forudgående adgang til din enhed. Det eneste, der kræves, er at du besøger en ondsindet side — fx via et phishing-link i en e-mail eller SMS. Det gør fejlen særligt farlig i hverdagen.
Hvad gør jeg nu?
Du bør opdatere Google Chrome på alle iOS-enheder hurtigst muligt. Sådan gør du:
- Åbn App Store på din iPhone eller iPad.
- Tryk på din profilikon øverst til højre og vælg ‘Opdateringer’.
- Find Google Chrome og tryk ‘Opdater’, hvis en opdatering er tilgængelig.
- Bekræft opdateringen er til version 150.0.7871.47 eller nyere ved at gå til Chrome-indstillinger → Om Chrome.
- Informér dine medarbejdere om at gøre det samme på alle iOS-enheder, de bruger til arbejde — også private telefoner med adgang til virksomhedens systemer.
- Overvej at aktivere automatiske opdateringer i App Store, så I ikke er sårbare ved fremtidige fejl.
Opdatér inden for 24 timer
Vi anbefaler, at du behandler denne opdatering som hastende og sikrer, at alle iOS-enheder med Chrome er opdateret inden for de næste 24 timer. Heap corruption-sårbarheder af denne type er ofte attraktive mål for angribere, og Googles egen klassificering som ‘kritisk’ understreger alvoren. Har du medarbejdere med private iPhones der tilgår virksomhedens e-mail eller systemer, bør du sende dem en direkte besked om at opdatere nu. Overvej derudover at indføre en fast procedure for løbende browseropdateringer som del af jeres sikkerhedsrutiner.
Tidslinje
Konkrete eksempler
Phishing-link i SMS eller e-mail
En medarbejder modtager en SMS, der ser ud til at komme fra en leverandør, med et link til en ‘faktura’. Linket åbner en ondsindet hjemmeside i Chrome på medarbejderens iPhone. Siden indeholder skjult kode, der udnytter heap corruption-fejlen og giver angriberen adgang til enheden — herunder virksomhedens e-mail og interne systemer.
Kompromitteret annonce på legitim hjemmeside
Medarbejderen besøger en velkendt nyhedsside på sin iPhone via Chrome. Siden viser en annonce, der er blevet kompromitteret af angribere (såkaldt malvertising). Annoncen indeholder skadelig HTML-kode, der automatisk udnytter sårbarheden uden at medarbejderen klikker på noget — blot det at indlæse siden er nok til at udløse angrebet.
Falsk login-side til virksomhedens system
En angriber opretter en overbevisende kopi af virksomhedens interne portal. Siden sendes til en medarbejder via LinkedIn. Når siden åbnes i Chrome på iPhone, udnytter den fejlen til at installere et spyware-program, der logger alle tastetryk og sender adgangskoder videre til angriberen — selv efter at medarbejderen har lukket browseren igen.
Ofte stillede spørgsmål
Gælder fejlen også Chrome på Android eller pc?
Nej — denne specifikke fejl (CVE-2026-13777) er beskrevet som et problem i Chrome på iOS, altså iPhone og iPad. Brugere af Chrome på Android, Windows eller Mac er ikke direkte ramt af præcis denne sårbarhed, men bør altid holde deres browser opdateret generelt.
Hvad hvis vi bruger Safari i stedet for Chrome på iPhone?
Så er I ikke ramt af denne konkrete fejl. Sårbarheden ligger i Googles Chrome-browser til iOS og påvirker ikke Safari eller andre browsere. Det er dog altid god praksis at holde alle apps og styresystemer opdateret.
Kan vi se, om nogen allerede har udnyttet fejlen mod os?
Det er svært at opdage uden avancerede sikkerhedsværktøjer. Tegn på kompromittering kan inkludere usædvanlig adfærd på enheden, ukendte apps eller uforklarlige datatransaktioner. Har du mistanke, bør enheden isoleres og gennemgås af en it-sikkerhedsekspert. Kontakt os, og vi kan hjælpe med en vurdering.
Hvad er heap corruption, og hvorfor er det farligt?
Heap corruption (hukommelseskorruption) er en type fejl, hvor et program skriver data til forkerte steder i enhedens hukommelse (RAM). Det kan få programmet til at opføre sig ukontrolleret — og i dette tilfælde kan en angriber udnytte dette til at køre sin egen kode på enheden med samme rettigheder som Chrome. Det svarer i praksis til, at angriberen kan styre hvad enheden gør.
Skal vi gøre andet end at opdatere?
Opdateringen er det vigtigste skridt. Derudover kan det være en god idé at gennemgå, hvilke enheder i virksomheden der har adgang til følsomme systemer, og sikre at de alle er opdaterede. Overvej også at aktivere automatiske app-opdateringer og kortlæg jeres BYOD-politik (medarbejderes private enheder brugt til arbejde).
Ramte produkter
Google — Chrome
< 150.0.7871.46
Apple — Macos
–
Linux — Linux Kernel
–
Microsoft — Windows
–
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Insufficient validation of untrusted input in iOSWeb in Google Chrome on iOS prior to 150.0.7871.47 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: Critical)
Referencer & kilder
Officielle advisories
Eksterne kilder
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
