CVE-2026-13780: Kritisk fejl i Google Chrome
Kritisk fejl i Google Chrome lader angribere bryde ud af browserens sikkerhedslag via en ondsindet hjemmeside.
Hvad er det?
En kritisk sårbarhed er fundet i Google Chrome’s grafik-komponent kaldet ANGLE. ANGLE håndterer, hvordan Chrome tegner billeder og grafik på skærmen. Fejlen betyder, at Chrome ikke tjekker data fra hjemmesider grundigt nok, og det giver en angriber mulighed for at bryde ud af browserens sandbox (det beskyttede lag, der normalt holder skadelig kode isoleret fra resten af din computer). Resultatet er, at angriberen potentielt kan få fuld kontrol over din computer — ikke kun browseren.
Hvem rammer det?
Alle der bruger Google Chrome i en version ældre end 150.0.7871.47 på Windows, macOS eller Linux. Det gælder både private brugere og medarbejdere i virksomheder. Hvis din virksomhed bruger Chrome som standardbrowser — hvilket de fleste gør — er I sandsynligvis berørt, indtil I har opdateret.
Hvad kan ske?
En angriber kan oprette en ondsindet hjemmeside og lokke en medarbejder til at besøge den. Når siden åbnes i en sårbar Chrome-browser, kan angriberen:
- Bryde ud af browserens sikkerhedslag og få adgang til selve computeren
- Installere malware eller ransomware (afpresningssoftware) uden at brugeren opdager det
- Stjæle filer, adgangskoder og andre følsomme data
- Sprede sig videre til andre systemer på virksomhedens netværk
Hvor alvorligt er det?
Sårbarheden er vurderet til 9.6 ud af 10 på den internationale CVSS-skala, hvilket placerer den i kategorien Kritisk. Det er en af de højeste scoreringer, en sårbarhed kan få. Angrebet kræver ingen særlige rettigheder og kan udføres fra internettet — angriberen behøver blot at få en bruger til at besøge en hjemmeside. Det eneste, der mindsker risikoen lidt, er, at brugeren aktivt skal åbne den ondsindede side.
Hvad gør jeg nu?
Du bør opdatere Chrome på alle computere i din virksomhed hurtigst muligt. Sådan gør du:
- Åbn Google Chrome på den pågældende computer.
- Klik på de tre prikker øverst til højre i browservinduet.
- Vælg Hjælp → Om Google Chrome. Chrome tjekker nu automatisk for opdateringer og installerer dem.
- Genstart browseren når opdateringen er færdig — det er nødvendigt for at aktivere rettelsen.
- Gentag på alle computere i virksomheden, herunder bærbare og hjemmearbejdspladser med adgang til virksomhedens systemer.
- Overvej at aktivere automatiske opdateringer i Chrome, så lignende problemer håndteres fremover uden manuel indgriben.
Opdatér inden for 24–48 timer
Vi anbefaler, at du behandler denne opdatering som hastende og sørger for, at alle medarbejdere opdaterer Chrome inden for de næste to dage. Gør det til en fast procedure at gennemgå Chrome-versionen på alle enheder ugentligt, og overvej at indføre en central styring af browseropdateringer via jeres IT-administration. Har du medarbejdere, der arbejder hjemmefra, skal de opdatere deres browser der også — ikke kun på kontoret.
Tidslinje
Konkrete eksempler
Phishing-link til ondsindet hjemmeside
En medarbejder modtager en e-mail, der ser ud til at komme fra en leverandør, med et link til en ‘faktura’. Siden er i virkeligheden kontrolleret af en angriber og udnytter CVE-2026-13780 til at bryde ud af Chrome’s sandbox. Uden at medarbejderen opdager noget, installeres der bagdørssoftware på computeren, som giver angriberen adgang til virksomhedens netværk.
Kompromitteret legitim hjemmeside
En angriber har hacket en velkendt og tilsyneladende troværdig hjemmeside og indlejret skadelig kode på siden. En medarbejder besøger hjemmesiden som del af sit daglige arbejde i en uopdateret Chrome-browser. Den skadelige kode udnytter sårbarheden og giver angriberen mulighed for at overtage medarbejderens computer og potentielt tilgå virksomhedens interne systemer og data.
Målrettet angreb via reklame-netværk
En angriber placerer en ondsindet reklame på et reklamenetværk, der vises på populære nyhedssider. Når en medarbejder ser reklamen i Chrome, aktiveres angrebet automatisk — uden at medarbejderen klikker på noget. Via sårbarheden i ANGLE-komponenten kan angriberen bryde ud af sandboxen og få adgang til filer og systemer på computeren.
Ofte stillede spørgsmål
Skal vi gøre noget, hvis vi bruger en anden browser som Edge eller Firefox?
Denne sårbarhed rammer udelukkende Google Chrome. Microsoft Edge er dog baseret på den samme Chromium-platform, men Microsoft udgiver separate opdateringer til Edge. Vi anbefaler, at du også tjekker, om Edge er opdateret. Firefox er ikke berørt af denne specifikke fejl.
Hvad hvis vi bruger Chrome på mobiltelefoner?
Den officielle NVD-beskrivelse nævner ikke mobile versioner af Chrome. Fokuser i første omgang på at opdatere Chrome på computere (Windows, macOS og Linux). Det er dog altid god praksis at holde alle apps opdaterede, så tjek også mobilenhederne i din App Store eller Google Play.
Kan vi se om vi er blevet angrebet?
Et vellykket angreb via denne sårbarhed kan være svært at opdage uden tekniske værktøjer. Tegn på kompromittering kan være usædvanlig computeradfærd, nye programmer der er dukket op, eller langsom ydeevne. Har du mistanke om, at en computer kan være berørt, bør du kontakte en IT-sikkerhedsspecialist.
Hvad er en sandbox, og hvorfor er det farligt at bryde ud af den?
En sandbox er et isoleret område i din computer, hvor browseren kører adskilt fra resten af systemet. Tanken er, at selv hvis en hjemmeside indeholder skadelig kode, kan den ikke nå ud og påvirke dine filer eller programmer. Når en angriber bryder ud af sandboxen, falder den beskyttelse bort, og angriberens kode kan gøre næsten alt det samme, som du selv kan på din computer.
Behøver vi at gøre andet end at opdatere Chrome?
Opdateringen er det vigtigste trin. Som en ekstra sikkerhedsforanstaltning kan du minde medarbejderne om ikke at klikke på links fra ukendte afsendere og at være forsigtige med uventede e-mails med links. Overvej også at sikre, at jeres antivirusprogram er opdateret og aktivt.
Ramte produkter
Google — Chrome
< 150.0.7871.46
Apple — Macos
–
Linux — Linux Kernel
–
Microsoft — Windows
–
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Insufficient validation of untrusted input in ANGLE in Google Chrome prior to 150.0.7871.47 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page. (Chromium security severity: Critical)
Referencer & kilder
Officielle advisories
Eksterne kilder
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
