CVE-2026-10968
Alvorlig

CVE-2026-10968: Chrome-sårbarhed lækker data på Windows

Sårbarhed i Google Chrome på Windows kan lække fortrolige data fra andre hjemmesider til angribere.

CVSS Score
7.4
Offentliggjort
04/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdater inden for 24-48 timer

Hvad er det?

En sårbarhed i Chrome-komponenten Dawn (Chromes grafikmotor) på Windows gør det muligt for en angriber at hente data fra hjemmesider, du er logget ind på — selv om de er på et andet domæne. Det sker, fordi Chrome ikke tjekker brugerinput grundigt nok (CWE-20: utilstrækkelig validering af input). Angriberen skal have kompromitteret Chromes renderer-proces (den del af browseren, der viser hjemmesider) og dernæst lokke dig til at besøge en ondsindet side. Sårbarheden påvirker udelukkende Chrome på Windows og er rettet i version 149.0.7827.53.

Hvem rammer det?

Alle virksomheder og medarbejdere, der bruger Google Chrome på Windows-computere. Risikoen er størst, hvis dine medarbejdere er logget ind på webbaserede systemer som netbank, cloud-løsninger, HR-portaler eller interne administrative værktøjer via Chrome — og samtidig kan lokkes til at åbne et ondsindet link.

Hvad kan ske?

En angriber kan potentielt læse fortrolige data fra hjemmesider, du er logget ind på i Chrome — for eksempel sessionsoplysninger, persondata, interne dokumenter eller finansielle data. Angrebet påvirker ikke selve hjemmesiderne eller dine filer, og det ændrer ikke data (ingen skriveadgang). Men et datalæk kan stadig føre til GDPR-brud, tab af forretningshemmeligheder eller misbrug af loginoplysninger.

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS 7.4 (Alvorlig). Angrebsvektoren er netværksbaseret, og der kræves ingen særlige rettigheder — men angriberen skal have kompromitteret Chromes renderer-proces, og offeret skal klikke på et ondsindet link. Det sænker den reelle risiko en smule, men fordi datalækket kan være omfattende (fortrolighed vurderet til HØJ), og ingen brugerrettigheder kræves fra angribers side, bør du handle hurtigt.

Hvad gør jeg nu?

Opdater Google Chrome på alle Windows-computere i din virksomhed hurtigst muligt. Sådan gør du:

  1. Åbn Google Chrome på hver computer.
  2. Klik på de tre prikker øverst til højre → Hjælp → Om Google Chrome.
  3. Chrome tjekker automatisk for opdateringer og installerer dem. Vent til det er færdigt.
  4. Genstart browseren, når du bliver bedt om det.
  5. Bekræft at versionen er 149.0.7827.53 eller nyere i ‘Om Google Chrome’.
  6. Har du mange computere? Brug din IT-administrators centrale opdateringsværktøj (f.eks. Google Admin Console eller Windows Group Policy) til at rulle opdateringen ud samlet.
  7. Mind dine medarbejdere om ikke at klikke på ukendte links i e-mails eller beskeder, indtil alle er opdateret.
Tidsfrist

Opdater inden for 24-48 timer

Sådan ser Auroa det

Opdater Chrome på alle Windows-enheder til version 149.0.7827.53 eller nyere så hurtigt som muligt — helst inden for 24 timer. Sørg for at inkludere hjemmearbejdspladser og bærbare computere, som måske ikke er på kontoret. Overvej at aktivere automatiske Chrome-opdateringer permanent, så I fremover er beskyttet hurtigere uden manuel handling.

Tidslinje

04/06/2026
CVE offentliggjort
Google og NVD offentliggjorde CVE-2026-10968 med en CVSS-score på 7.4 (Alvorlig). Sårbarheden i Dawn-komponenten i Chrome på Windows blev bekendtgjort.
04/06/2026
Patch frigivet af Google
Google udgav Chrome version 149.0.7827.53, som retter sårbarheden. Opdateringen er tilgængelig via Chromes automatiske opdateringsfunktion.
05/06/2026
PoC-exploit potentielt tilgængeligt
Baseret på Chromiums åbne udviklingsproces og den høje alvorlighed vurderes det, at proof-of-concept-kode kan dukke op hurtigt efter offentliggørelsen. Opdater Chrome hurtigst muligt.
06/06/2026
Anbefalet deadline for opdatering
Alle Windows-brugere i din virksomhed bør have opdateret Chrome til version 149.0.7827.53 eller nyere senest nu for at minimere risikoen for udnyttelse.

Konkrete eksempler

Phishing-link stjæler bankdata

En medarbejder modtager en e-mail med et link til en tilsyneladende harmløs hjemmeside. Hjemmesiden indeholder skjult ondsindet kode, der udnytter Dawn-sårbarheden. Fordi medarbejderen samtidig er logget ind på virksomhedens netbank i en anden Chrome-fane, kan angriberens side læse sessionsoplysninger fra netbankens fane og sende dem videre til angriberen.

Lækage af interne cloud-dokumenter

En angriber har kompromitteret Chromes renderer-proces via en tidligere sårbarhed og sender et ondsindet HTML-dokument til en medarbejder. Medarbejderen åbner dokumentet i Chrome, mens vedkommende er logget ind på Google Workspace eller Microsoft 365. Angriberen kan nu hente indholdet af åbne filer eller e-mails fra de åbne faner uden at efterlade synlige spor.

Stjålet logintoken fra HR-system

En medarbejder besøger en kompromitteret leverandørside, mens HR-systemet er åbent i en anden fane. Den ondsindede side bruger Dawn-fejlen til at udtrække den autentificeringstoken (en slags digitalt adgangskort), som HR-systemet bruger til at genkende medarbejderen. Med dette token kan angriberen logge ind i HR-systemet og tilgå personfølsomme oplysninger om alle ansatte.

Ofte stillede spørgsmål

Ramte produkter

Google — Chrome

< 149.0.7827.53

Microsoft — Windows

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
REQUIRED
Scope
CHANGED
Confidentiality
HIGH
Integrity
NONE
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N

CWE-svaghedstyper

CWE-20

Original NVD-beskrivelse (engelsk)

Insufficient validation of untrusted input in Dawn in Google Chrome on Windows prior to 149.0.7827.53 allowed a remote attacker who had compromised the renderer process to leak cross-origin data via a crafted HTML page. (Chromium security severity: High)

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
7.4
Visning
Hurtige fakta
CVE-ID
CVE-2026-10968
Offentliggjort
04/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdater inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.