CVE-2026-13775: Kritisk fejl i Google Chrome
Kritisk fejl i Google Chrome lader hackere bryde ud af browserens sikkerhedslag via en ondsindet hjemmeside.
Hvad er det?
En alvorlig sikkerhedsfejl er fundet i Google Chrome. Fejlen kaldes ‘use-after-free’ (brug af frigivet hukommelse), hvilket betyder at Chrome ved en fejl genbruger et stykke computerhukommelse, der allerede er blevet frigivet. Det sker i browserens GPU-komponent, som håndterer grafik og billedgengivelse.
En angriber kan udnytte dette til at udføre et såkaldt ‘sandbox escape’ — altså bryde ud af det isolerede sikkerhedsmiljø, som Chrome normalt holder websider indespærret i. Det giver angriberen mulighed for at køre ondsindet kode direkte på din computer.
Hvem rammer det?
Sårbarheden rammer alle, der bruger Google Chrome i en version ældre end 150.0.7871.47 — uanset om du kører Windows, macOS eller Linux. Det gælder både private brugere og medarbejdere i virksomheder. Bruger dine ansatte Chrome som arbejdsbrowser til at tilgå webmail, cloud-systemer eller hjemmesider, er I potentielt i risikozonen.
Hvad kan ske?
Hvis en angriber udnytter fejlen, kan vedkommende:
- Bryde ud af Chromes sikkerhedsmiljø og få adgang til hele din computer
- Installere malware eller ransomware uden at du opdager det
- Stjæle loginoplysninger, filer og forretningskritiske data
- Få fodfæste i dit netværk og sprede sig til andre systemer
Angrebet kan ske blot ved at din medarbejder besøger en ondsindet hjemmeside — der kræves ingen download eller klik på mistænkelige filer.
Hvor alvorligt er det?
Fejlen er vurderet til CVSS-score 9.8 ud af 10 og klassificeres som kritisk. Det er den højeste alvorlighedsgrad. Angrebet kræver ingen særlige rettigheder, ingen brugerinteraktion og kan udføres over internettet mod alle Chrome-brugere. Google selv har klassificeret den som kritisk i deres eget sikkerhedsprogram.
Hvad gør jeg nu?
Du skal sikre, at alle medarbejdere bruger den nyeste version af Chrome. Sådan gør du:
- Opdatér Chrome med det samme: Åbn Chrome, klik på de tre prikker øverst til højre, vælg ‘Hjælp’ og derefter ‘Om Google Chrome’. Chrome søger automatisk efter opdateringer og installerer dem. Genstart browseren bagefter.
- Kontrollér versionsnummeret: Efter opdatering skal der stå version 150.0.7871.47 eller nyere. Er det tilfældet, er du beskyttet.
- Ryd op på alle enheder: Sørg for at opdatere Chrome på alle computere i virksomheden — også hjemmearbejdspladser og bærbare.
- Overvej automatiske opdateringer: Slå automatisk opdatering til i Chrome, så fremtidige sikkerhedsrettelser sker uden manuel indgriben.
- Informér dine medarbejdere: Send en kort besked om, at de skal opdatere Chrome i dag og genstarte browseren.
Opdatér i dag — kritisk alvorlighed
Opdatér Google Chrome til version 150.0.7871.47 eller nyere på alle virksomhedens enheder i dag. Denne sårbarhed er kritisk og kan udnyttes uden at brugeren gør noget aktivt udover at besøge en hjemmeside. Vent ikke på den næste planlagte vedligeholdelsesrunde — risikoen er for stor. Kontakt os, hvis du har brug for hjælp til at rulle opdateringen ud på tværs af jeres organisation.
Tidslinje
Konkrete eksempler
Ondsindet reklame på en normal nyhedsside
En medarbejder besøger en velkendt dansk nyhedsside i arbejdstiden. Siden viser en reklame, der indeholder skjult ondsindet kode. Uden at medarbejderen klikker på noget, udnytter koden Chrome-fejlen, bryder ud af browserens sikkerhedsmiljø og installerer et program, der overvåger tastetryk og sender loginoplysninger til angriberen.
Phishing-link i en e-mail
En medarbejder modtager en tilsyneladende legitim e-mail med et link til en ‘faktura’. Linket fører til en hjemmeside kontrolleret af angriberen. Siden udnytter CVE-2026-13775 til at eksekvere kode på medarbejderens computer og giver angriberen adgang til virksomhedens interne netværk via medarbejderens maskine.
Kompromitteret leverandørside
En af jeres faste leverandørers hjemmesider er selv blevet hacket og indeholder nu skjult kode. Næste gang en medarbejder besøger siden for at bestille varer, udnytter koden Chrome-sårbarheden. Angriberen får adgang til medarbejderens computer og kan herfra forsøge at nå virksomhedens økonomi- eller kundedatasystemer.
Ofte stillede spørgsmål
Skal jeg opdatere Chrome, selvom jeg har antivirusprogram?
Ja. Antivirusprogrammer beskytter mod mange trusler, men denne type angreb sker inde i browseren, inden antivirusprogrammet normalt opdager noget. Den eneste effektive beskyttelse er at opdatere Chrome til den rettede version.
Hvad er et 'sandbox escape', og hvorfor er det farligt?
Chrome kører websider i et isoleret miljø kaldet en ‘sandbox’ (sandkasse), der forhindrer hjemmesider i at tilgå resten af din computer. Et sandbox escape betyder, at en angriber formår at bryde ud af denne sandkasse og dermed kan gøre skade på hele systemet — ikke kun inde i browseren.
Kan jeg blive angrebet, selvom jeg kun besøger kendte hjemmesider?
Risikoen er lavest på kendte og troværdige hjemmesider, men angrebet kræver teknisk set blot, at din browser indlæser ondsindet indhold. Det kan i teorien ske via kompromitterede reklamer på ellers legitime sider. Opdatering er derfor den sikreste løsning, uanset hvad du besøger.
Gælder det også andre browsere som Edge eller Firefox?
Nej — denne specifikke sårbarhed er fundet i Google Chrome. Microsoft Edge er delvist baseret på samme teknologi (Chromium), så du bør sikre, at Edge ligeledes er opdateret til den nyeste version. Firefox er ikke berørt af denne fejl.
Hvordan ved jeg, hvilken version af Chrome jeg har?
Åbn Chrome og klik på de tre prikker øverst til højre. Vælg ‘Hjælp’ og derefter ‘Om Google Chrome’. Her kan du se dit versionsnummer. Du bør have version 150.0.7871.47 eller højere for at være beskyttet.
Hvad gør jeg, hvis vi bruger en ældre computer, der ikke kan opdateres?
Hvis en computer ikke kan køre den nyeste Chrome, bør du overveje at bruge en anden browser der er fuldt opdateret, eller at begrænse internetsurfing på den pågældende maskine. Kontakt os for en vurdering af, hvad der er den bedste løsning i jeres specifikke situation.
Ramte produkter
Google — Chrome
< 150.0.7871.47
Apple — Macos
–
Linux — Linux Kernel
–
Microsoft — Windows
–
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Use after free in GPU in Google Chrome prior to 150.0.7871.47 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page. (Chromium security severity: Critical)
Referencer & kilder
Officielle advisories
Eksterne kilder
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
