CVE-2026-13774
Alvorlig

CVE-2026-13774: Kritisk fejl i Google Chrome

Kritisk fejl i Google Chrome lader ondsindet udvidelse overtage din computer – opdater straks til version 150.0.7871.47.

CVSS Score
8.1
Offentliggjort
30/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 24-48 timer

Hvad er det?

CVE-2026-13774 er en alvorlig sikkerhedsfejl i Google Chrome. Fejlen er af typen ‘use-after-free’ (UAF), hvilket betyder, at Chrome ved en fejl fortsætter med at bruge en hukommelsesplads, efter den er frigivet — noget der kan udnyttes til at køre vilkårlig kode på din computer.

Fejlen findes specifikt i Chromes håndtering af browserudvidelser (de små tilføjelsesprogrammer du installerer i Chrome). En angriber kan udnytte fejlen ved at narre dig til at installere en ondsindet udvidelse, som derefter overtager styringen af din browser eller computer.

Hvem rammer det?

Fejlen rammer alle, der bruger Google Chrome i en version ældre end 150.0.7871.47, uanset styresystem. Det gælder altså brugere på:

  • Microsoft Windows
  • Apple macOS
  • Linux

Særligt udsatte er medarbejdere, der jævnligt installerer Chrome-udvidelser, eller virksomheder hvor det er muligt at installere udvidelser uden IT-godkendelse.

Hvad kan ske?

Hvis en angriber udnytter denne sårbarhed, kan følgende ske:

  • Kørsel af skadelig kode: Angriberen kan køre programmer på din computer uden din viden.
  • Datatyveri: Adgangskoder, sessionsdata og fortrolige dokumenter kan stjæles fra browseren.
  • Overtagelse af systemer: Angriberens kode kan bruges som springbræt til at sprede sig i virksomhedens netværk.
  • Ransomware-angreb: Den skadelige kode kan downloade og aktivere ransomware (afpresningssoftware), der krypterer dine filer.

Hvor alvorligt er det?

Sårbarheden har en CVSS-score på 8.1 ud af 10, hvilket kategoriseres som alvorlig (high). Googles egne sikkerhedseksperter har internt vurderet den som kritisk.

Angrebet kræver, at offeret selv installerer en ondsindet udvidelse — det sænker risikoen en smule i forhold til fejl, der kan udnyttes helt uden brugerhandling. Til gengæld er social engineering (manipulation af brugere) en velkendt og effektiv angrebsmetode, og mange brugere installerer udvidelser uden at tænke sig om. Konsekvenserne ved et vellykket angreb er fulde: fortrolighed, integritet og tilgængelighed af data er alle kompromitteret.

Hvad gør jeg nu?

Følg disse trin for at beskytte din virksomhed hurtigst muligt:

  1. Opdatér Chrome med det samme: Åbn Chrome, klik på de tre prikker øverst til højre, vælg Hjælp → Om Google Chrome. Chrome tjekker automatisk for opdateringer og installerer version 150.0.7871.47 eller nyere.
  2. Genstart browseren: Opdateringen træder først i kraft, når Chrome er genstartet. Sørg for, at alle medarbejdere genstarter deres browser.
  3. Gennemgå installerede udvidelser: Gå til chrome://extensions i adresselinjen og fjern alle udvidelser, du ikke kender eller ikke bruger aktivt.
  4. Informér dine medarbejdere: Send en kort besked til dit team om ikke at installere Chrome-udvidelser uden forudgående godkendelse fra IT eller ledelse.
  5. Overvej en udvidelsespolitik: Sæt regler for, hvilke Chrome-udvidelser der må bruges i virksomheden, og overvej at bruge Group Policy (Windows) eller MDM til at håndhæve dette.
Tidsfrist

Opdatér inden for 24-48 timer

Sådan ser Auroa det

Vi anbefaler, at du opdaterer Google Chrome på alle virksomhedens enheder i dag. Fejlen er alvorlig, og da den udnyttes via browserudvidelser, er det vigtigt at kombinere opdateringen med en hurtig gennemgang af, hvilke udvidelser dine medarbejdere har installeret. Overvej at indføre en fast procedure for godkendelse af browserudvidelser fremover — det er en lille indsats, der markant reducerer jeres angrebsflade.

Tidslinje

30/06/2026
CVE offentliggjort og patch frigivet
Google udgiver Chrome 150.0.7871.47 med rettelse af CVE-2026-13774 og offentliggør sikkerhedsbulletinen. NVD registrerer sårbarheden samme dag.
30/06/2026
Google vurderer internt som kritisk
Googles interne Chromium-sikkerhedsteam har klassificeret fejlen som 'Critical' — den højeste kategori — hvilket indikerer, at fejlen er let at udnytte med stor skade til følge.
01/07/2026
Proof-of-concept forventet offentliggjort
Erfaringsmæssigt offentliggøres tekniske beviser (proof-of-concept) for Chrome-sårbarheder inden for 1-3 dage efter en patch, da sikkerhedsforskere analyserer de ændringer, Google foretager i koden.
03/07/2026
Øget risiko for aktivt misbrug
Når proof-of-concept er offentlig tilgængeligt, stiger risikoen markant for, at kriminelle grupper begynder at bruge teknikken aktivt mod brugere, der endnu ikke har opdateret Chrome.

Konkrete eksempler

Falsk produktivitetsudvidelse i Chrome Web Store

En angriber opretter en Chrome-udvidelse, der udgiver sig for at være et populært produktivitetsværktøj — fx en PDF-konverter eller et Kanban-board. Udvidelsen ser legitim ud og har endda falske anmeldelser. Når en medarbejder installerer den, udnytter udvidelsen UAF-fejlen til at køre skadelig kode, der stjæler gemte adgangskoder og sessionscookies fra browseren og sender dem til angriperens server.

Phishing-mail med link til ondsindet udvidelse

En medarbejder modtager en e-mail, der ser ud til at komme fra virksomhedens IT-afdeling, med besked om at installere en ‘ny sikkerhedsudvidelse’ via et vedlagt link. Linket fører til en side, der efterligner Chrome Web Store, og udvidelsen udnytter CVE-2026-13774 til at installere bagdørssoftware (malware) på computeren, som giver angriberen fjernadgang til virksomhedens systemer.

Kompromitteret legitim udvidelse

En angriber overtager kontoen hos en legitim udvidelsesudvikler og udgiver en ondsindet opdatering til en udvidelse med tusindvis af brugere. Medarbejdere i virksomheder, der bruger udvidelsen, modtager automatisk den inficerede opdatering. Udvidelsen udnytter derefter UAF-fejlen til at kortlægge virksomhedens interne netværk og forberede et ransomware-angreb.

Ofte stillede spørgsmål

Ramte produkter

Google — Chrome

< 150.0.7871.47

Apple — Macos

Linux — Linux Kernel

Microsoft — Windows

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
HIGH
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-416

Original NVD-beskrivelse (engelsk)

Use after free in Extensions in Google Chrome prior to 150.0.7871.47 allowed an attacker who convinced a user to install a malicious extension to execute arbitrary code via a crafted Chrome Extension. (Chromium security severity: Critical)

Referencer & kilder

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
8.1
Visning
Hurtige fakta
CVE-ID
CVE-2026-13774
Offentliggjort
30/06/2026
Sidst opdateret
02/07/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.