CVE-2026-13780
Kritisk

CVE-2026-13780: Kritisk fejl i Google Chrome

Kritisk fejl i Google Chrome lader angribere bryde ud af browserens sikkerhedslag via en ondsindet hjemmeside.

CVSS Score
9.6
Offentliggjort
30/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 24–48 timer

Hvad er det?

En kritisk sårbarhed er fundet i Google Chrome’s grafik-komponent kaldet ANGLE. ANGLE håndterer, hvordan Chrome tegner billeder og grafik på skærmen. Fejlen betyder, at Chrome ikke tjekker data fra hjemmesider grundigt nok, og det giver en angriber mulighed for at bryde ud af browserens sandbox (det beskyttede lag, der normalt holder skadelig kode isoleret fra resten af din computer). Resultatet er, at angriberen potentielt kan få fuld kontrol over din computer — ikke kun browseren.

Hvem rammer det?

Alle der bruger Google Chrome i en version ældre end 150.0.7871.47 på Windows, macOS eller Linux. Det gælder både private brugere og medarbejdere i virksomheder. Hvis din virksomhed bruger Chrome som standardbrowser — hvilket de fleste gør — er I sandsynligvis berørt, indtil I har opdateret.

Hvad kan ske?

En angriber kan oprette en ondsindet hjemmeside og lokke en medarbejder til at besøge den. Når siden åbnes i en sårbar Chrome-browser, kan angriberen:

  • Bryde ud af browserens sikkerhedslag og få adgang til selve computeren
  • Installere malware eller ransomware (afpresningssoftware) uden at brugeren opdager det
  • Stjæle filer, adgangskoder og andre følsomme data
  • Sprede sig videre til andre systemer på virksomhedens netværk

Hvor alvorligt er det?

Sårbarheden er vurderet til 9.6 ud af 10 på den internationale CVSS-skala, hvilket placerer den i kategorien Kritisk. Det er en af de højeste scoreringer, en sårbarhed kan få. Angrebet kræver ingen særlige rettigheder og kan udføres fra internettet — angriberen behøver blot at få en bruger til at besøge en hjemmeside. Det eneste, der mindsker risikoen lidt, er, at brugeren aktivt skal åbne den ondsindede side.

Hvad gør jeg nu?

Du bør opdatere Chrome på alle computere i din virksomhed hurtigst muligt. Sådan gør du:

  1. Åbn Google Chrome på den pågældende computer.
  2. Klik på de tre prikker øverst til højre i browservinduet.
  3. Vælg Hjælp → Om Google Chrome. Chrome tjekker nu automatisk for opdateringer og installerer dem.
  4. Genstart browseren når opdateringen er færdig — det er nødvendigt for at aktivere rettelsen.
  5. Gentag på alle computere i virksomheden, herunder bærbare og hjemmearbejdspladser med adgang til virksomhedens systemer.
  6. Overvej at aktivere automatiske opdateringer i Chrome, så lignende problemer håndteres fremover uden manuel indgriben.
Tidsfrist

Opdatér inden for 24–48 timer

Sådan ser Auroa det

Vi anbefaler, at du behandler denne opdatering som hastende og sørger for, at alle medarbejdere opdaterer Chrome inden for de næste to dage. Gør det til en fast procedure at gennemgå Chrome-versionen på alle enheder ugentligt, og overvej at indføre en central styring af browseropdateringer via jeres IT-administration. Har du medarbejdere, der arbejder hjemmefra, skal de opdatere deres browser der også — ikke kun på kontoret.

Tidslinje

30/06/2026
CVE offentliggjort
NVD offentliggør CVE-2026-13780 med en kritisk CVSS-score på 9.6. Sårbarheden er opdaget i ANGLE-komponenten i Google Chrome.
30/06/2026
Patch frigivet af Google
Google udgiver Chrome version 150.0.7871.47, som indeholder rettelsen for denne sårbarhed. Opdateringen er tilgængelig via den automatiske opdateringsfunktion i Chrome.
30/06/2026
Proof-of-concept kendes
Der er kendskab til, at en angriber allerede havde kompromitteret renderer-processen som led i udnyttelsen, hvilket indikerer, at teknikken er dokumenteret og muligvis tilgængelig i sikkerhedsmiljøet.
01/07/2026
Anbefalet opdateringsfrist
Sikkerhedseksperter anbefaler, at alle virksomheder har opdateret Chrome senest 24–48 timer efter offentliggørelsen grundet den kritiske alvorlighed og lave angrebskompleksitet.

Konkrete eksempler

Phishing-link til ondsindet hjemmeside

En medarbejder modtager en e-mail, der ser ud til at komme fra en leverandør, med et link til en ‘faktura’. Siden er i virkeligheden kontrolleret af en angriber og udnytter CVE-2026-13780 til at bryde ud af Chrome’s sandbox. Uden at medarbejderen opdager noget, installeres der bagdørssoftware på computeren, som giver angriberen adgang til virksomhedens netværk.

Kompromitteret legitim hjemmeside

En angriber har hacket en velkendt og tilsyneladende troværdig hjemmeside og indlejret skadelig kode på siden. En medarbejder besøger hjemmesiden som del af sit daglige arbejde i en uopdateret Chrome-browser. Den skadelige kode udnytter sårbarheden og giver angriberen mulighed for at overtage medarbejderens computer og potentielt tilgå virksomhedens interne systemer og data.

Målrettet angreb via reklame-netværk

En angriber placerer en ondsindet reklame på et reklamenetværk, der vises på populære nyhedssider. Når en medarbejder ser reklamen i Chrome, aktiveres angrebet automatisk — uden at medarbejderen klikker på noget. Via sårbarheden i ANGLE-komponenten kan angriberen bryde ud af sandboxen og få adgang til filer og systemer på computeren.

Ofte stillede spørgsmål

Ramte produkter

Google — Chrome

< 150.0.7871.46

Apple — Macos

Linux — Linux Kernel

Microsoft — Windows

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
REQUIRED
Scope
CHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

CWE-svaghedstyper

CWE-20

Original NVD-beskrivelse (engelsk)

Insufficient validation of untrusted input in ANGLE in Google Chrome prior to 150.0.7871.47 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page. (Chromium security severity: Critical)

Referencer & kilder

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.6
Visning
Hurtige fakta
CVE-ID
CVE-2026-13780
Offentliggjort
30/06/2026
Sidst opdateret
02/07/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 24–48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.