CVE-2026-13784
Alvorlig

CVE-2026-13784: Kritisk fejl i Google Chrome

Kritisk fejl i Google Chrome giver hackere fuld adgang til din computer via en ondsindet hjemmeside.

CVSS Score
8.8
Offentliggjort
30/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdater inden for 24 timer

Hvad er det?

En alvorlig sikkerhedsfejl er fundet i Google Chrome. Fejlen kaldes ‘use-after-free’ (brug af hukommelse der allerede er frigivet), og den findes i den del af Chrome der håndterer visuelle elementer på skærmen. Når Chrome frigiver et stykke hukommelse, men ved en fejl fortsætter med at bruge det, kan en angriber udnytte dette til at køre skadelig kode på din computer. En angriber kan placere en særligt konstrueret hjemmeside og lokke dig til at klikke på bestemte elementer — derefter kan fejlen udløses og give angriberen kontrol.

Hvem rammer det?

Alle der bruger Google Chrome i en version ældre end 150.0.7871.46 på Windows, macOS eller Linux. Det gælder både private brugere og medarbejdere i virksomheder. Bruger din virksomhed Chrome som standard-browser — hvilket de fleste SMV’er gør — er I potentielt i risikogruppen.

Hvad kan ske?

Hvis en angriber udnytter fejlen, kan vedkommende:

  • Få fuld adgang til alt på den computer, der er logget ind på
  • Stjæle adgangskoder, forretningsdokumenter og kundedata
  • Installere ransomware (software der krypterer dine filer og kræver løsepenge)
  • Bruge computeren som springbræt til resten af jeres netværk

Angriberen kræver dog at du eller en medarbejder klikker eller interagerer med en ondsindet hjemmeside, så et klik på et forkert link er alt der skal til.

Hvor alvorligt er det?

Sårbarheden er vurderet til 8.8 ud af 10 på den internationale CVSS-skala og klassificeres som Alvorlig. Google selv betegner den internt som ‘Critical’. Alle tre centrale sikkerhedsparametre er maksimalt påvirket: fortrolighed, integritet og tilgængelighed. Det eneste der begrænser scoren fra 10 er, at angrebet kræver en brugerhandling — fx et klik. Det er dog en meget lav barriere i praksis, da sociale manipulationsmetoder (phishing, falske annoncer) nemt kan fremkalde dette.

Hvad gør jeg nu?

Opdater Google Chrome hurtigst muligt på alle computere i virksomheden. Sådan gør du:

  1. Åbn Google Chrome på din computer
  2. Klik på de tre prikker øverst til højre i browseren
  3. Vælg ‘Hjælp’ og derefter ‘Om Google Chrome’
  4. Chrome tjekker automatisk for opdateringer og installerer dem — vent til det er færdigt
  5. Klik ‘Genstart’ når du bliver bedt om det
  6. Gentag på alle medarbejdernes computere, eller bed din IT-ansvarlige om at rulle opdateringen ud centralt
Tidsfrist

Opdater inden for 24 timer

Sådan ser Auroa det

Opdater Chrome med det samme på samtlige enheder i virksomheden — dette er ikke noget der kan vente til næste IT-runde. Informér dine medarbejdere om ikke at klikke på ukendte links eller hjemmesider, mens opdateringen rulles ud. Overvej at opsætte automatiske browser-opdateringer som fast politik, så lignende situationer håndteres proaktivt fremover.

Tidslinje

30/06/2026
CVE offentliggjort
Google offentliggjorde CVE-2026-13784 som en del af en sikkerhedsopdatering til Chrome. Sårbarheden blev klassificeret som 'Critical' internt hos Google.
30/06/2026
Patch udgivet
Google udgav Chrome version 150.0.7871.46 der lukker sikkerhedshullet. Opdateringen er tilgængelig for Windows, macOS og Linux.
01/07/2026
Proof-of-concept tilgængeligt
Sikkerhedsforskere bekræftede at tekniske detaljer om sårbarheden er tilgængelige, hvilket øger risikoen for at angribere aktivt kan begynde at udnytte fejlen mod brugere der endnu ikke har opdateret.

Konkrete eksempler

Phishing-link i en e-mail

En medarbejder modtager en e-mail der ser ud til at komme fra en leverandør, med et link til en ‘faktura’. Hjemmesiden er ondsindet og indeholder kode der udnytter Chrome-fejlen. Når medarbejderen klikker rundt på siden, aktiveres angrebet, og angriberen får adgang til computeren uden at medarbejderen opdager noget.

Ondsindet reklame på en legitim hjemmeside

En medarbejder besøger en velkendt dansk nyhedsside. En af reklamerne på siden er injiceret med skadelig kode af angribere via reklame-netværket. Uden at klikke på noget mistænkeligt udløser interaktion med sidens normale indhold fejlen i Chrome, og angriberen installerer et overvågningsprogram på computeren.

Kompromitteret hjemmeside hos en samarbejdspartner

En hacker har brudt ind på hjemmesiden hos en af jeres faste samarbejdspartnere og placeret skjult kode der udnytter Chrome-sårbarheden. Når jeres medarbejder besøger partnerens side som del af det daglige arbejde, udføres angrebet automatisk i baggrunden og giver hackeren fodfæste i jeres netværk.

Ofte stillede spørgsmål

Ramte produkter

Google — Chrome

< 150.0.7871.46

Apple — Macos

Linux — Linux Kernel

Microsoft — Windows

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
REQUIRED
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-416

Original NVD-beskrivelse (engelsk)

Use after free in Views in Google Chrome prior to 150.0.7871.47 allowed a remote attacker who convinced a user to engage in specific UI gestures to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: Critical)

Referencer & kilder

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
8.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-13784
Offentliggjort
30/06/2026
Sidst opdateret
02/07/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdater inden for 24 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.