CVE-2026-13784: Kritisk fejl i Google Chrome
Kritisk fejl i Google Chrome giver hackere fuld adgang til din computer via en ondsindet hjemmeside.
Hvad er det?
En alvorlig sikkerhedsfejl er fundet i Google Chrome. Fejlen kaldes ‘use-after-free’ (brug af hukommelse der allerede er frigivet), og den findes i den del af Chrome der håndterer visuelle elementer på skærmen. Når Chrome frigiver et stykke hukommelse, men ved en fejl fortsætter med at bruge det, kan en angriber udnytte dette til at køre skadelig kode på din computer. En angriber kan placere en særligt konstrueret hjemmeside og lokke dig til at klikke på bestemte elementer — derefter kan fejlen udløses og give angriberen kontrol.
Hvem rammer det?
Alle der bruger Google Chrome i en version ældre end 150.0.7871.46 på Windows, macOS eller Linux. Det gælder både private brugere og medarbejdere i virksomheder. Bruger din virksomhed Chrome som standard-browser — hvilket de fleste SMV’er gør — er I potentielt i risikogruppen.
Hvad kan ske?
Hvis en angriber udnytter fejlen, kan vedkommende:
- Få fuld adgang til alt på den computer, der er logget ind på
- Stjæle adgangskoder, forretningsdokumenter og kundedata
- Installere ransomware (software der krypterer dine filer og kræver løsepenge)
- Bruge computeren som springbræt til resten af jeres netværk
Angriberen kræver dog at du eller en medarbejder klikker eller interagerer med en ondsindet hjemmeside, så et klik på et forkert link er alt der skal til.
Hvor alvorligt er det?
Sårbarheden er vurderet til 8.8 ud af 10 på den internationale CVSS-skala og klassificeres som Alvorlig. Google selv betegner den internt som ‘Critical’. Alle tre centrale sikkerhedsparametre er maksimalt påvirket: fortrolighed, integritet og tilgængelighed. Det eneste der begrænser scoren fra 10 er, at angrebet kræver en brugerhandling — fx et klik. Det er dog en meget lav barriere i praksis, da sociale manipulationsmetoder (phishing, falske annoncer) nemt kan fremkalde dette.
Hvad gør jeg nu?
Opdater Google Chrome hurtigst muligt på alle computere i virksomheden. Sådan gør du:
- Åbn Google Chrome på din computer
- Klik på de tre prikker øverst til højre i browseren
- Vælg ‘Hjælp’ og derefter ‘Om Google Chrome’
- Chrome tjekker automatisk for opdateringer og installerer dem — vent til det er færdigt
- Klik ‘Genstart’ når du bliver bedt om det
- Gentag på alle medarbejdernes computere, eller bed din IT-ansvarlige om at rulle opdateringen ud centralt
Opdater inden for 24 timer
Opdater Chrome med det samme på samtlige enheder i virksomheden — dette er ikke noget der kan vente til næste IT-runde. Informér dine medarbejdere om ikke at klikke på ukendte links eller hjemmesider, mens opdateringen rulles ud. Overvej at opsætte automatiske browser-opdateringer som fast politik, så lignende situationer håndteres proaktivt fremover.
Tidslinje
Konkrete eksempler
Phishing-link i en e-mail
En medarbejder modtager en e-mail der ser ud til at komme fra en leverandør, med et link til en ‘faktura’. Hjemmesiden er ondsindet og indeholder kode der udnytter Chrome-fejlen. Når medarbejderen klikker rundt på siden, aktiveres angrebet, og angriberen får adgang til computeren uden at medarbejderen opdager noget.
Ondsindet reklame på en legitim hjemmeside
En medarbejder besøger en velkendt dansk nyhedsside. En af reklamerne på siden er injiceret med skadelig kode af angribere via reklame-netværket. Uden at klikke på noget mistænkeligt udløser interaktion med sidens normale indhold fejlen i Chrome, og angriberen installerer et overvågningsprogram på computeren.
Kompromitteret hjemmeside hos en samarbejdspartner
En hacker har brudt ind på hjemmesiden hos en af jeres faste samarbejdspartnere og placeret skjult kode der udnytter Chrome-sårbarheden. Når jeres medarbejder besøger partnerens side som del af det daglige arbejde, udføres angrebet automatisk i baggrunden og giver hackeren fodfæste i jeres netværk.
Ofte stillede spørgsmål
Bliver jeg ramt, hvis jeg ikke besøger mistænkelige hjemmesider?
Risikoen reduceres, men elimineres ikke. Angribere kan placere skadelig kode på legitime og kendte hjemmesider via fx reklamesystemer (såkaldt ‘malvertising’). Opdatering er den eneste sikre beskyttelse uanset hvilke hjemmesider du besøger.
Hvad hvis vi bruger en anden browser, fx Edge eller Firefox?
Denne sårbarhed rammer kun Google Chrome. Microsoft Edge er delvist baseret på den samme underliggende teknologi (Chromium), men Microsoft udgiver selvstændige opdateringer. Tjek om Edge også er opdateret. Firefox er ikke berørt af denne specifikke fejl.
Hvordan ved jeg, om vi allerede er blevet angrebet?
Det kan være svært at opdage uden teknisk analyse. Tegn på et kompromitteret system kan være usædvanlig langsom computer, ukendte programmer der starter op, eller mistænkelig netværksaktivitet. Kontakt en IT-sikkerhedsspecialist, hvis du er bekymret — de kan gennemgå jeres systemer.
Gælder opdateringen for alle styresystemer?
Ja. Opdateringen til Chrome version 150.0.7871.46 eller nyere er tilgængelig for Windows, macOS og Linux. Alle platforme er sårbare og skal opdateres.
Vi har mange computere — hvordan opdaterer vi dem alle hurtigt?
Hvis I bruger en central IT-styring (fx Microsoft Intune eller Google Workspace), kan din IT-ansvarlige rulle opdateringen ud til alle enheder på én gang. Har I ikke et sådant system, bør hver medarbejder opdatere manuelt i dag. Det tager under fem minutter pr. computer.
Ramte produkter
Google — Chrome
< 150.0.7871.46
Apple — Macos
–
Linux — Linux Kernel
–
Microsoft — Windows
–
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Use after free in Views in Google Chrome prior to 150.0.7871.47 allowed a remote attacker who convinced a user to engage in specific UI gestures to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: Critical)
Referencer & kilder
Officielle advisories
Eksterne kilder
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
