CVE-2026-58289: Kritisk fejl i Microsoft Edge
Kritisk fejl i Microsoft Edge kan give hackere fuld kontrol over din computer uden at du gør noget forkert.
Hvad er det?
CVE-2026-58289 er en kritisk sikkerhedsfejl i webbrowseren Microsoft Edge (baseret på Chromium). Fejlen kaldes en type confusion-sårbarhed, hvilket betyder, at browseren kan narres til at behandle data på en forkert og farlig måde. Det kan udnyttes af en angriber over internettet til at afvikle skadelig kode på din computer — altså køre programmer uden din tilladelse. Særligt alvorligt er det, at angrebet kræver ingen handling fra dig som bruger og ingen adgangskoder eller rettigheder fra angriberens side. Det er dog teknisk komplekst at udføre, hvilket trækker lidt ned i den samlede risiko.
Hvem rammer det?
Sårbarheden rammer alle, der bruger Microsoft Edge som browser — både privat og i erhvervssammenhæng. Virksomheder hvor medarbejdere anvender Edge til daglig browsing, adgang til webbaserede systemer eller cloud-tjenester er i risikogruppen. Da Edge er standardbrowser på Windows-computere, er det særligt relevant for virksomheder, der bruger Windows-pc’er og ikke aktivt har skiftet til en anden browser.
Hvad kan ske?
Hvis sårbarheden udnyttes, kan en angriber:
- Afvikle vilkårlige programmer på den ramte computer (fuld kodekørsel)
- Få adgang til fortrolige filer, adgangskoder og forretningsdata
- Installere ransomware (løsepengevirus) eller spyware i baggrunden
- Sprede sig videre til andre systemer på virksomhedens netværk
- Overtage brugerkonti eller hele systemer uden at efterlade tydelige spor
Hvor alvorligt er det?
Fejlen har fået en CVSS-score på 9.0 ud af 10, som klassificeres som kritisk. Angrebet kan udføres over netværket uden nogen form for forudgående adgang eller brugerinteraktion, og det kan påvirke fortrolighed, integritet og tilgængelighed på det ramte system fuldt ud — herunder med mulighed for at sprede sig ud over det direkte ramte system (scope change). Det eneste, der holder scoren fra 10, er at angrebet er teknisk komplekst at gennemføre. Det betyder dog ikke, at avancerede angribere ikke kan klare det.
Hvad gør jeg nu?
Du bør handle hurtigt. Her er hvad du gør:
- Opdatér Microsoft Edge med det samme. Åbn Edge, klik på de tre prikker øverst til højre, vælg Hjælp og feedback → Om Microsoft Edge. Browseren søger automatisk efter opdateringer og installerer dem.
- Sørg for at alle medarbejdere opdaterer deres browser. Send en besked til alle og bed dem genstarte Edge inden arbejdsdagens afslutning.
- Overvej om Edge er nødvendig. Hvis visse medarbejdere ikke aktivt bruger Edge, kan den deaktiveres eller erstattes med en anden browser midlertidigt.
- Tjek at automatiske opdateringer er slået til på virksomhedens computere, så fremtidige sikkerhedsopdateringer installeres uden forsinkelse.
- Orienter din IT-ansvarlige eller IT-leverandør om sårbarheden, så de kan bekræfte at opdateringen er rullet ud på alle enheder.
Opdatér inden for 24-48 timer
Vi anbefaler, at du opdaterer Microsoft Edge på alle virksomhedens computere hurtigst muligt — helst i dag. Selvom angrebet er teknisk krævende, er konsekvenserne ved et vellykket angreb meget alvorlige: fuld kontrol over den ramte maskine. Har du ikke en IT-ansvarlig, der kan sikre udrulningen, bør du kontakte din IT-leverandør i dag og bede dem håndtere opdateringen centralt.
Tidslinje
Konkrete eksempler
Ondsindet reklame på et normalt website
En medarbejder besøger et velkendt nyhedssite for at læse dagens nyheder. En af reklamerne på siden er kompromitteret af angribere og indeholder skjult kode, der udnytter type confusion-fejlen i Edge. Uden at medarbejderen klikker på noget, afvikles skadelig kode på computeren, som installerer et bagdørsprogram, der giver angriberne adgang til virksomhedens systemer.
Phishing-link til kompromitteret side
En medarbejder modtager en e-mail med et link til, hvad der ligner en legitim leverandørportal. Siden er opsat af angribere specifikt til at udnytte CVE-2026-58289. Straks siden indlæses i Edge, udnyttes fejlen, og angriberens kode afvikles på medarbejderens computer — uden nogen advarsel eller popup. Angriberne kan herefter tilgå virksomhedens interne filer og netværk.
Kompromitteret SaaS-integration
Virksomheden bruger et cloud-baseret regnskabsprogram, som tilgås via Edge. En angriber, der har kompromitteret en tredjepartsleverandørs script på platformen, indlejrer ondsindet kode i brugergrænsefladen. Når en medarbejder logger ind og åbner systemet, udnytter koden type confusion-fejlen og giver angriberne adgang til både regnskabsdata og medarbejderens lokale computer.
Ofte stillede spørgsmål
Skal jeg gøre noget, hvis jeg ikke selv bruger Edge?
Ja — selv hvis du personligt bruger en anden browser, kan dine medarbejdere have Edge installeret som standardbrowser på deres Windows-computere. Tjek hvad der bruges i din virksomhed og sørg for, at Edge opdateres uanset hvad, da den typisk er installeret på alle Windows-maskiner.
Kan jeg vente med at opdatere til næste planlagte servicevinduer?
Det fraråder vi i dette tilfælde. En CVSS-score på 9.0 (kritisk) betyder, at risikoen er høj nok til at bryde med den normale opdateringsrytme. Opdateringen af en browser er som regel hurtig og kræver kun en genstart — det er en lille indsats sammenlignet med konsekvenserne af et angreb.
Hvordan ved jeg, om vi allerede er blevet ramt?
Det er svært at opdage uden specialværktøjer, da et sådant angreb kan foregå uden synlige tegn. Hvis du bemærker usædvanlig computeradfærd, ukendte programmer eller mistænkelig netværksaktivitet, bør du kontakte din IT-leverandør med det samme. Regelmæssig loggennemgang og brug af antivirusløsninger kan hjælpe med at opdage uregelmæssigheder.
Er det nok at opdatere Windows — eller skal jeg opdatere Edge separat?
Edge opdateres uafhængigt af Windows. En Windows Update er altså ikke nok. Du skal specifikt opdatere Edge enten manuelt via browseren selv (Hjælp → Om Microsoft Edge) eller via din IT-leverandørs centrale styring af software.
Hvad er en type confusion-fejl, og hvorfor er det farligt?
En type confusion-fejl opstår, når et program forveksler to forskellige slags data og behandler dem forkert. I en browser kan det betyde, at et ondsindet website kan narre browseren til at udføre skadelig kode ved at sende data, som browseren misforstår og udfører som instruktioner. Det er farligt, fordi det kan ske helt automatisk, blot ved at du besøger en kompromitteret hjemmeside.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Access of resource using incompatible type (‘type confusion’) in Microsoft Edge (Chromium-based) allows an unauthorized attacker to execute code over a network.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
