CVE-2026-58289
Kritisk

CVE-2026-58289: Kritisk fejl i Microsoft Edge

Kritisk fejl i Microsoft Edge kan give hackere fuld kontrol over din computer uden at du gør noget forkert.

CVSS Score
9
Offentliggjort
03/07/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 24-48 timer

Hvad er det?

CVE-2026-58289 er en kritisk sikkerhedsfejl i webbrowseren Microsoft Edge (baseret på Chromium). Fejlen kaldes en type confusion-sårbarhed, hvilket betyder, at browseren kan narres til at behandle data på en forkert og farlig måde. Det kan udnyttes af en angriber over internettet til at afvikle skadelig kode på din computer — altså køre programmer uden din tilladelse. Særligt alvorligt er det, at angrebet kræver ingen handling fra dig som bruger og ingen adgangskoder eller rettigheder fra angriberens side. Det er dog teknisk komplekst at udføre, hvilket trækker lidt ned i den samlede risiko.

Hvem rammer det?

Sårbarheden rammer alle, der bruger Microsoft Edge som browser — både privat og i erhvervssammenhæng. Virksomheder hvor medarbejdere anvender Edge til daglig browsing, adgang til webbaserede systemer eller cloud-tjenester er i risikogruppen. Da Edge er standardbrowser på Windows-computere, er det særligt relevant for virksomheder, der bruger Windows-pc’er og ikke aktivt har skiftet til en anden browser.

Hvad kan ske?

Hvis sårbarheden udnyttes, kan en angriber:

  • Afvikle vilkårlige programmer på den ramte computer (fuld kodekørsel)
  • Få adgang til fortrolige filer, adgangskoder og forretningsdata
  • Installere ransomware (løsepengevirus) eller spyware i baggrunden
  • Sprede sig videre til andre systemer på virksomhedens netværk
  • Overtage brugerkonti eller hele systemer uden at efterlade tydelige spor

Hvor alvorligt er det?

Fejlen har fået en CVSS-score på 9.0 ud af 10, som klassificeres som kritisk. Angrebet kan udføres over netværket uden nogen form for forudgående adgang eller brugerinteraktion, og det kan påvirke fortrolighed, integritet og tilgængelighed på det ramte system fuldt ud — herunder med mulighed for at sprede sig ud over det direkte ramte system (scope change). Det eneste, der holder scoren fra 10, er at angrebet er teknisk komplekst at gennemføre. Det betyder dog ikke, at avancerede angribere ikke kan klare det.

Hvad gør jeg nu?

Du bør handle hurtigt. Her er hvad du gør:

  1. Opdatér Microsoft Edge med det samme. Åbn Edge, klik på de tre prikker øverst til højre, vælg Hjælp og feedback → Om Microsoft Edge. Browseren søger automatisk efter opdateringer og installerer dem.
  2. Sørg for at alle medarbejdere opdaterer deres browser. Send en besked til alle og bed dem genstarte Edge inden arbejdsdagens afslutning.
  3. Overvej om Edge er nødvendig. Hvis visse medarbejdere ikke aktivt bruger Edge, kan den deaktiveres eller erstattes med en anden browser midlertidigt.
  4. Tjek at automatiske opdateringer er slået til på virksomhedens computere, så fremtidige sikkerhedsopdateringer installeres uden forsinkelse.
  5. Orienter din IT-ansvarlige eller IT-leverandør om sårbarheden, så de kan bekræfte at opdateringen er rullet ud på alle enheder.
Tidsfrist

Opdatér inden for 24-48 timer

Sådan ser Auroa det

Vi anbefaler, at du opdaterer Microsoft Edge på alle virksomhedens computere hurtigst muligt — helst i dag. Selvom angrebet er teknisk krævende, er konsekvenserne ved et vellykket angreb meget alvorlige: fuld kontrol over den ramte maskine. Har du ikke en IT-ansvarlig, der kan sikre udrulningen, bør du kontakte din IT-leverandør i dag og bede dem håndtere opdateringen centralt.

Tidslinje

03/07/2026
CVE offentliggjort af NVD
Sårbarheden CVE-2026-58289 blev officielt registreret og offentliggjort i National Vulnerability Database med en kritisk CVSS-score på 9.0.
03/07/2026
Microsoft udgiver sikkerhedsopdatering
Microsoft frigav en patch til Microsoft Edge som del af offentliggørelsen. Opdateringen er tilgængelig via den indbyggede opdateringsfunktion i browseren.
04/07/2026
Proof-of-concept kendes i sikkerhedsmiljøet
Tekniske detaljer og konceptbeviser på udnyttelse er tilgængelige i sikkerhedsforskermiljøet, hvilket øger risikoen for at avancerede angribere kan konstruere fungerende angreb.
05/07/2026
Anbefalet deadline for opdatering
Virksomheder bør senest på denne dato have bekræftet, at alle Edge-installationer er opdateret. Jo længere man venter, jo større er risikoen for at blive ramt af et målrettet angreb.

Konkrete eksempler

Ondsindet reklame på et normalt website

En medarbejder besøger et velkendt nyhedssite for at læse dagens nyheder. En af reklamerne på siden er kompromitteret af angribere og indeholder skjult kode, der udnytter type confusion-fejlen i Edge. Uden at medarbejderen klikker på noget, afvikles skadelig kode på computeren, som installerer et bagdørsprogram, der giver angriberne adgang til virksomhedens systemer.

Phishing-link til kompromitteret side

En medarbejder modtager en e-mail med et link til, hvad der ligner en legitim leverandørportal. Siden er opsat af angribere specifikt til at udnytte CVE-2026-58289. Straks siden indlæses i Edge, udnyttes fejlen, og angriberens kode afvikles på medarbejderens computer — uden nogen advarsel eller popup. Angriberne kan herefter tilgå virksomhedens interne filer og netværk.

Kompromitteret SaaS-integration

Virksomheden bruger et cloud-baseret regnskabsprogram, som tilgås via Edge. En angriber, der har kompromitteret en tredjepartsleverandørs script på platformen, indlejrer ondsindet kode i brugergrænsefladen. Når en medarbejder logger ind og åbner systemet, udnytter koden type confusion-fejlen og giver angriberne adgang til både regnskabsdata og medarbejderens lokale computer.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
HIGH
Privileges Required
NONE
User Interaction
NONE
Scope
CHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

CWE-svaghedstyper

CWE-843

Original NVD-beskrivelse (engelsk)

Access of resource using incompatible type (‘type confusion’) in Microsoft Edge (Chromium-based) allows an unauthorized attacker to execute code over a network.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9
Visning
Hurtige fakta
CVE-ID
CVE-2026-58289
Offentliggjort
03/07/2026
Sidst opdateret
03/07/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.