CVE-2026-10968: Chrome-sårbarhed lækker data på Windows
Sårbarhed i Google Chrome på Windows kan lække fortrolige data fra andre hjemmesider til angribere.
Hvad er det?
En sårbarhed i Chrome-komponenten Dawn (Chromes grafikmotor) på Windows gør det muligt for en angriber at hente data fra hjemmesider, du er logget ind på — selv om de er på et andet domæne. Det sker, fordi Chrome ikke tjekker brugerinput grundigt nok (CWE-20: utilstrækkelig validering af input). Angriberen skal have kompromitteret Chromes renderer-proces (den del af browseren, der viser hjemmesider) og dernæst lokke dig til at besøge en ondsindet side. Sårbarheden påvirker udelukkende Chrome på Windows og er rettet i version 149.0.7827.53.
Hvem rammer det?
Alle virksomheder og medarbejdere, der bruger Google Chrome på Windows-computere. Risikoen er størst, hvis dine medarbejdere er logget ind på webbaserede systemer som netbank, cloud-løsninger, HR-portaler eller interne administrative værktøjer via Chrome — og samtidig kan lokkes til at åbne et ondsindet link.
Hvad kan ske?
En angriber kan potentielt læse fortrolige data fra hjemmesider, du er logget ind på i Chrome — for eksempel sessionsoplysninger, persondata, interne dokumenter eller finansielle data. Angrebet påvirker ikke selve hjemmesiderne eller dine filer, og det ændrer ikke data (ingen skriveadgang). Men et datalæk kan stadig føre til GDPR-brud, tab af forretningshemmeligheder eller misbrug af loginoplysninger.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS 7.4 (Alvorlig). Angrebsvektoren er netværksbaseret, og der kræves ingen særlige rettigheder — men angriberen skal have kompromitteret Chromes renderer-proces, og offeret skal klikke på et ondsindet link. Det sænker den reelle risiko en smule, men fordi datalækket kan være omfattende (fortrolighed vurderet til HØJ), og ingen brugerrettigheder kræves fra angribers side, bør du handle hurtigt.
Hvad gør jeg nu?
Opdater Google Chrome på alle Windows-computere i din virksomhed hurtigst muligt. Sådan gør du:
- Åbn Google Chrome på hver computer.
- Klik på de tre prikker øverst til højre → Hjælp → Om Google Chrome.
- Chrome tjekker automatisk for opdateringer og installerer dem. Vent til det er færdigt.
- Genstart browseren, når du bliver bedt om det.
- Bekræft at versionen er 149.0.7827.53 eller nyere i ‘Om Google Chrome’.
- Har du mange computere? Brug din IT-administrators centrale opdateringsværktøj (f.eks. Google Admin Console eller Windows Group Policy) til at rulle opdateringen ud samlet.
- Mind dine medarbejdere om ikke at klikke på ukendte links i e-mails eller beskeder, indtil alle er opdateret.
Opdater inden for 24-48 timer
Opdater Chrome på alle Windows-enheder til version 149.0.7827.53 eller nyere så hurtigt som muligt — helst inden for 24 timer. Sørg for at inkludere hjemmearbejdspladser og bærbare computere, som måske ikke er på kontoret. Overvej at aktivere automatiske Chrome-opdateringer permanent, så I fremover er beskyttet hurtigere uden manuel handling.
Tidslinje
Konkrete eksempler
Phishing-link stjæler bankdata
En medarbejder modtager en e-mail med et link til en tilsyneladende harmløs hjemmeside. Hjemmesiden indeholder skjult ondsindet kode, der udnytter Dawn-sårbarheden. Fordi medarbejderen samtidig er logget ind på virksomhedens netbank i en anden Chrome-fane, kan angriberens side læse sessionsoplysninger fra netbankens fane og sende dem videre til angriberen.
Lækage af interne cloud-dokumenter
En angriber har kompromitteret Chromes renderer-proces via en tidligere sårbarhed og sender et ondsindet HTML-dokument til en medarbejder. Medarbejderen åbner dokumentet i Chrome, mens vedkommende er logget ind på Google Workspace eller Microsoft 365. Angriberen kan nu hente indholdet af åbne filer eller e-mails fra de åbne faner uden at efterlade synlige spor.
Stjålet logintoken fra HR-system
En medarbejder besøger en kompromitteret leverandørside, mens HR-systemet er åbent i en anden fane. Den ondsindede side bruger Dawn-fejlen til at udtrække den autentificeringstoken (en slags digitalt adgangskort), som HR-systemet bruger til at genkende medarbejderen. Med dette token kan angriberen logge ind i HR-systemet og tilgå personfølsomme oplysninger om alle ansatte.
Ofte stillede spørgsmål
Skal jeg bekymre mig, hvis vi bruger Chrome på Mac eller Linux?
Nej. Denne specifikke sårbarhed rammer kun Google Chrome på Windows. Bruger dine medarbejdere udelukkende Mac eller Linux, er I ikke berørt af netop denne fejl. Det anbefales dog altid at holde Chrome opdateret på alle platforme.
Hvad er Dawn, og hvorfor er det farligt?
Dawn er den komponent i Chrome, der håndterer grafik og WebGPU (en teknologi til at køre grafikintensive opgaver i browseren). Fordi Dawn behandler data fra hjemmesider, og fejlen ligger i, at den ikke tjekker disse data grundigt nok, kan en angriber sende specialfremstillede data, der får Dawn til at returnere oplysninger, den ikke burde dele.
Kan angriberen få adgang til vores filer eller systemer?
Ikke direkte. Sårbarheden giver kun læseadgang til data fra andre åbne hjemmesider i samme browser — ikke adgang til filer på computeren eller virksomhedens netværk. Det er dog stadig alvorligt, da det kan betyde lækage af loginoplysninger eller fortrolige webdata.
Hvordan ved jeg, om vi allerede er blevet angrebet?
Det er svært at opdage med det blotte øje, da angrebet sker i baggrunden. Hvis du har mistanke, bør du kontakte en IT-sikkerhedsrådgiver, som kan gennemgå browserlogfiler og netværkstrafik. Det vigtigste første skridt er dog at opdatere Chrome øjeblikkeligt.
Vi har automatiske opdateringer slået til — er vi så sikre?
Automatiske opdateringer hjælper, men de kræver, at Chrome er åbnet og genstartet efter opdateringen. Bed dine medarbejdere bekræfte, at de kører version 149.0.7827.53 eller nyere, ved at tjekke ‘Om Google Chrome’ i menuen.
Gælder det også Chromium-baserede browsere som Edge?
NVD-beskrivelsen nævner specifikt Google Chrome på Windows. Andre Chromium-baserede browsere som Microsoft Edge har deres eget opdateringsforløb og kan have en tilsvarende sårbarhed — tjek om Edge også har en tilgængelig opdatering, og hold den opdateret som god praksis.
Ramte produkter
Google — Chrome
< 149.0.7827.53
Microsoft — Windows
–
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Insufficient validation of untrusted input in Dawn in Google Chrome on Windows prior to 149.0.7827.53 allowed a remote attacker who had compromised the renderer process to leak cross-origin data via a crafted HTML page. (Chromium security severity: High)
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
