CVE-2026-13782: Kritisk fejl i Google Chrome
Kritisk fejl i Google Chrome giver angribere mulighed for at overtage din computer via en ondsindet hjemmeside.
Hvad er det?
CVE-2026-13782 er en kritisk sikkerhedsfejl i webbrowseren Google Chrome. Fejlen kaldes teknisk set en use-after-free — det betyder, at Chrome ved en fejl forsøger at bruge et stykke computerhukommelse, efter det allerede er blevet frigivet. Det kan udnyttes af en angriber til at køre skadelig kode på din computer. Det farlige ved denne fejl er, at angriberen kan bryde ud af Chromes sikkerhedssandkasse (det beskyttede område, som browseren normalt kører i), og dermed få fuld adgang til resten af dit system. Fejlen kræver ingen handling fra dig ud over at besøge en ondsindet hjemmeside.
Hvem rammer det?
Fejlen rammer alle, der bruger Google Chrome i en version ældre end 150.0.7871.47, uanset om computeren kører Windows, macOS eller Linux. Det betyder, at både private brugere og medarbejdere i virksomheder er i fare, så længe de ikke har opdateret deres browser. Særligt udsatte er virksomheder, hvor medarbejdere dagligt bruger Chrome til at tilgå hjemmesider, webmail eller cloud-tjenester.
Hvad kan ske?
Hvis en angriber udnytter fejlen, kan følgende ske:
- Angriberen kan bryde ud af browserens sikkerhedssandkasse og få fuld kontrol over din computer.
- Følsomme data, som adgangskoder, filer og forretningsinformation, kan blive stjålet.
- Der kan installeres skadelig software (f.eks. ransomware eller spyware) på din computer uden din viden.
- Angrebet kan spredes til andre systemer i dit netværk.
Alt dette kan ske blot ved, at en medarbejder besøger en hjemmeside, som angriberen kontrollerer — ingen klik på vedhæftede filer er nødvendige.
Hvor alvorligt er det?
Denne sårbarhed har fået den højest mulige CVSS-score på 10 ud af 10 og er klassificeret som kritisk. Det skyldes, at:
- Angrebet kan udføres over internettet uden særlige tekniske forudsætninger.
- Angriberen behøver ingen adgangskoder eller særlige rettigheder for at udnytte fejlen.
- Brugeren behøver ikke klikke på noget — det er nok at besøge en ondsindet side.
- Angriberen kan opnå fuld kontrol over fortrolighed, integritet og tilgængelighed af dine data og systemer.
Google selv vurderer alvorligheden som kritisk. Opdater Chrome øjeblikkeligt.
Hvad gør jeg nu?
Du skal opdatere Google Chrome på alle computere i din virksomhed så hurtigt som muligt. Sådan gør du:
- Åbn Google Chrome på din computer.
- Klik på de tre prikker øverst til højre i browservinduet.
- Vælg Hjælp og derefter Om Google Chrome.
- Chrome tjekker automatisk for opdateringer og installerer dem. Vent til det er færdigt.
- Klik på Genstart for at aktivere opdateringen.
- Kontrollér at versionen nu er 150.0.7871.47 eller nyere.
- Gentag processen på alle arbejdscomputere i virksomheden — herunder bærbare og hjemmearbejdspladser, der tilgår virksomhedens systemer.
Opdater straks — inden for 24 timer
Hos Auroa anbefaler vi, at du behandler denne opdatering som en hastesag og sikrer, at Chrome er opdateret på samtlige enheder i din virksomhed inden for 24 timer. Overvej at indføre automatiske browseropgraderinger som en fast politik, så fremtidige kritiske fejl håndteres hurtigere. Har du brug for hjælp til at rulle opdateringen ud på tværs af mange computere, er du velkommen til at kontakte os.
Tidslinje
Konkrete eksempler
Ondsindet reklamebanner på en legitim hjemmeside
En angriber køber reklameplads på en populær dansk nyhedsside og lægger et ondsindet reklamebanner op. Når en medarbejder i din virksomhed besøger nyhedssiden i Chrome, udnytter bannerets kode CVE-2026-13782 til at bryde ud af browserens sandkasse. Angriberen får dermed adgang til medarbejderens computer og kan herfra bevæge sig videre ind i virksomhedens systemer.
Phishing-link i en e-mail
En medarbejder modtager en tilsyneladende harmløs e-mail med et link til en hjemmeside, der ser ud til at tilhøre en samarbejdspartner. Siden er imidlertid oprettet af en angriber og indeholder skjult kode, der udnytter fejlen i Chrome. Blot ved at åbne linket i browseren kompromitteres medarbejderens computer, og angriberen kan installere ransomware på virksomhedens netværk.
Kompromitteret webshop eller leverandørside
En angriber bryder ind på en webshop, som dine medarbejdere jævnligt bruger til at bestille kontorartikler. Angriberen indlejrer skadelig kode på siden. Næste gang en medarbejder besøger siden i en ikke-opdateret Chrome-browser, aktiveres udnyttelsen automatisk. Angriberen kan herefter stjæle login-oplysninger til virksomhedens systemer direkte fra computerens hukommelse.
Ofte stillede spørgsmål
Kan jeg se, om jeg er blevet angrebet?
Det er desværre svært at opdage uden tekniske værktøjer, da angrebet sker i baggrunden. Tegn på et kompromitteret system kan være unormal computeradfærd, langsom ydeevne eller ukendte programmer. Kontakt en IT-sikkerhedskonsulent, hvis du har mistanke om et angreb.
Bruger vi ikke Chrome — er vi så sikre?
Denne specifikke fejl er kun i Google Chrome. Bruger du udelukkende andre browsere som Edge, Firefox eller Safari, er du ikke ramt af netop denne sårbarhed. Vær dog opmærksom på, at andre browsere kan have egne sikkerhedsfejl, som også bør holdes opdaterede.
Gælder det også Chrome-baserede browsere som Microsoft Edge?
Microsoft Edge, Brave, Opera og andre Chromium-baserede browsere bruger dele af den samme underliggende kode. Det er muligt, at lignende fejl findes i disse browsere, men CVE-2026-13782 er specifikt rettet mod Google Chrome. Tjek altid, at alle dine browsere er opdaterede.
Hvad er en 'sandkasse', og hvorfor er det farligt at bryde ud af den?
En sandkasse (sandbox) er et isoleret område, som Chrome kører hjemmesider i, for at forhindre skadelig kode i at påvirke resten af din computer. Når en angriber bryder ud af sandkassen, kan de tilgå alt på din computer — filer, adgangskoder og netværksforbindelser — som om de sad foran den selv.
Er det nok at genstarte computeren?
Nej, en genstart af computeren fjerner ikke sårbarheden. Du skal aktivt opdatere Google Chrome til version 150.0.7871.47 eller nyere. Følg trinene i ‘Hvad gør jeg nu’-afsnittet for at opdatere korrekt.
Skal jeg bekymre mig, hvis mine medarbejdere arbejder hjemmefra?
Ja. Hjemmearbejdspladser er ofte forbundet til virksomhedens systemer via VPN eller cloud-tjenester, og et kompromitteret hjemmearbejdssetup kan give angribere adgang til virksomhedens data. Sørg for, at opdateringen gennemføres på alle enheder — også hjemmets arbejdscomputere.
Ramte produkter
Google — Chrome
< 150.0.7871.46
Apple — Macos
–
Linux — Linux Kernel
–
Microsoft — Windows
–
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Use after free in Browser in Google Chrome prior to 150.0.7871.47 allowed a remote attacker who had compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page. (Chromium security severity: Critical)
Referencer & kilder
Officielle advisories
Eksterne kilder
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
