CVE-2026-13777
Alvorlig

CVE-2026-13777: Kritisk fejl i Google Chrome til iOS

Kritisk fejl i Google Chrome på iOS kan give angribere fuld kontrol over din enhed via en ondsindet hjemmeside.

CVSS Score
8.8
Offentliggjort
30/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 24 timer

Hvad er det?

CVE-2026-13777 er en sikkerhedsfejl i Google Chrome til iOS-enheder (iPhone og iPad). Fejlen skyldes mangelfuld validering (kontrol) af inddata fra nettet i en komponent kaldet iOSWeb. Det betyder, at Chrome ikke tjekker tilstrækkeligt, om indhold fra en hjemmeside er sikkert, før det behandles. En angriber kan udnytte dette til at forårsage såkaldt heap corruption — en type fejl i enhedens hukommelse — som kan give angriberen fuld kontrol over enheden. Fejlen kræver, at du besøger en ondsindet hjemmeside, men kræver ikke, at du downloader noget eller indtaster nogen oplysninger.

Hvem rammer det?

Sårbarheden rammer alle, der bruger Google Chrome på en iPhone eller iPad med en version ældre end 150.0.7871.47. Hvis din virksomhed bruger iOS-enheder til arbejde — fx til e-mail, kalender, bankforretninger eller kundesystemer — og medarbejderne bruger Chrome som browser, er I potentielt i farezonen. Det gælder både privatejede telefoner, der bruges til arbejde (BYOD), og virksomhedsudstedte enheder.

Hvad kan ske?

Hvis en angriber udnytter denne fejl, kan vedkommende potentielt:

  • Overtage fuld kontrol over den ramte iOS-enhed
  • Stjæle adgangskoder, cookies og loginoplysninger gemt i browseren
  • Tilgå virksomhedens systemer og data, som enheden har adgang til
  • Installere skadelig software (malware) på enheden
  • Aflytte kommunikation og filer på enheden

Konsekvensen kan være datalæk, brud på GDPR-regler og tab af forretningskritisk information.

Hvor alvorligt er det?

Sårbarheden har en CVSS-score på 8.8 ud af 10, hvilket klassificeres som alvorlig. Googles eget sikkerhedsteam har internt vurderet den som kritisk. Angrebet kan udføres over nettet uden særlige tekniske forudsætninger, og angriberen behøver ingen forudgående adgang til din enhed. Det eneste, der kræves, er at du besøger en ondsindet side — fx via et phishing-link i en e-mail eller SMS. Det gør fejlen særligt farlig i hverdagen.

Hvad gør jeg nu?

Du bør opdatere Google Chrome på alle iOS-enheder hurtigst muligt. Sådan gør du:

  1. Åbn App Store på din iPhone eller iPad.
  2. Tryk på din profilikon øverst til højre og vælg ‘Opdateringer’.
  3. Find Google Chrome og tryk ‘Opdater’, hvis en opdatering er tilgængelig.
  4. Bekræft opdateringen er til version 150.0.7871.47 eller nyere ved at gå til Chrome-indstillinger → Om Chrome.
  5. Informér dine medarbejdere om at gøre det samme på alle iOS-enheder, de bruger til arbejde — også private telefoner med adgang til virksomhedens systemer.
  6. Overvej at aktivere automatiske opdateringer i App Store, så I ikke er sårbare ved fremtidige fejl.
Tidsfrist

Opdatér inden for 24 timer

Sådan ser Auroa det

Vi anbefaler, at du behandler denne opdatering som hastende og sikrer, at alle iOS-enheder med Chrome er opdateret inden for de næste 24 timer. Heap corruption-sårbarheder af denne type er ofte attraktive mål for angribere, og Googles egen klassificering som ‘kritisk’ understreger alvoren. Har du medarbejdere med private iPhones der tilgår virksomhedens e-mail eller systemer, bør du sende dem en direkte besked om at opdatere nu. Overvej derudover at indføre en fast procedure for løbende browseropdateringer som del af jeres sikkerhedsrutiner.

Tidslinje

30/06/2026
CVE offentliggjort
NVD og Google offentliggør CVE-2026-13777. Google udgiver samtidig en sikkerhedsopdatering til Chrome på iOS (version 150.0.7871.47), der lukker sårbarheden.
30/06/2026
Patch tilgængelig i App Store
Den opdaterede version af Google Chrome (150.0.7871.47) er tilgængelig via Apples App Store umiddelbart efter offentliggørelsen. Brugere opfordres til at opdatere straks.
01/07/2026
Øget risiko for udnyttelse
Erfaringsmæssigt stiger risikoen for aktiv udnyttelse markant i dagene efter offentliggørelse, da angribere analyserer patchede versioner for at forstå den præcise fejl og udvikle udnyttelseskode.
02/07/2026
Proof-of-concept forventet
Baseret på lignende sårbarheder af denne type og alvorlighedsgrad forventes tekniske demonstrationer (proof-of-concept) at blive offentliggjort inden for få dage efter patchen, hvilket øger risikoen yderligere for ikke-opdaterede enheder.

Konkrete eksempler

Phishing-link i SMS eller e-mail

En medarbejder modtager en SMS, der ser ud til at komme fra en leverandør, med et link til en ‘faktura’. Linket åbner en ondsindet hjemmeside i Chrome på medarbejderens iPhone. Siden indeholder skjult kode, der udnytter heap corruption-fejlen og giver angriberen adgang til enheden — herunder virksomhedens e-mail og interne systemer.

Kompromitteret annonce på legitim hjemmeside

Medarbejderen besøger en velkendt nyhedsside på sin iPhone via Chrome. Siden viser en annonce, der er blevet kompromitteret af angribere (såkaldt malvertising). Annoncen indeholder skadelig HTML-kode, der automatisk udnytter sårbarheden uden at medarbejderen klikker på noget — blot det at indlæse siden er nok til at udløse angrebet.

Falsk login-side til virksomhedens system

En angriber opretter en overbevisende kopi af virksomhedens interne portal. Siden sendes til en medarbejder via LinkedIn. Når siden åbnes i Chrome på iPhone, udnytter den fejlen til at installere et spyware-program, der logger alle tastetryk og sender adgangskoder videre til angriberen — selv efter at medarbejderen har lukket browseren igen.

Ofte stillede spørgsmål

Ramte produkter

Google — Chrome

< 150.0.7871.46

Apple — Macos

Linux — Linux Kernel

Microsoft — Windows

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
REQUIRED
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-20

Original NVD-beskrivelse (engelsk)

Insufficient validation of untrusted input in iOSWeb in Google Chrome on iOS prior to 150.0.7871.47 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: Critical)

Referencer & kilder

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
8.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-13777
Offentliggjort
30/06/2026
Sidst opdateret
02/07/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 24 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.