Morten Lyhne Petersen
En kritisk säkerhetslucka i Chromes JavaScript-motor utnyttjas just nu i aktiva angrepp mot vanliga användare.
Google släppte under måndagen den 8 juni 2026 en akutuppdatering som täpper till hålet, och det räcker med att besöka en preparerad hemsida för att drabbas. Felet är den femte aktivt utnyttjade nolldagen i Chrome under bara detta år.
Sårbarheten har fått beteckningen CVE-2026-11645 och sitter i V8, den motor som tolkar all JavaScript och WebAssembly som webbläsaren kör. Enligt Googles säkerhetsmeddelande på Chrome Releases finns rättningen i version 149.0.7827.102 för Windows och Linux samt 149.0.7827.103 för macOS. Google bekräftar kort att ”an exploit for CVE-2026-11645 exists in the wild”, men håller tekniska detaljer hemliga tills majoriteten av användarna har uppdaterat.
Vad felet betyder för en vanlig användare
CVE-2026-11645 klassas som en så kallad out-of-bounds-läsning och -skrivning, det vill säga att V8-motorn under vissa förhållanden läser och ändrar minne utanför sitt tillåtna område. Med rätt utformad kod på en webbsida kan en angripare på det sättet köra godtycklig kod inne i webbläsarens sandlåda, det avskärmade utrymme där sidor normalt inte ska kunna nå systemet i övrigt.
För en vanlig användare betyder det att infektionen inte kräver att man laddar ner något eller klickar på en bilaga. Att enbart besöka en preparerad eller kapad sajt räcker. Sårbarheten har fått CVSS-värdet 8.8, vilket placerar den högt på allvarlighetsskalan, och USA:s cybermyndighet CISA har lagt felet på sin lista över kända utnyttjade sårbarheter med sista åtgärdsdag den 23 juni 2026 för federala myndigheter.
Femte nolldagen på ett halvår
Det är inte en isolerad händelse. Med juniuppdateringen har Google nu rättat fem aktivt utnyttjade Chrome-nolldagar under 2026, enligt en sammanställning från BleepingComputer. De tidigare fyra var CVE-2026-2441 i februari, CVE-2026-3909 och CVE-2026-3910 i mars samt CVE-2026-5281 i april. Tre av de fem har rört V8-motorn direkt, ett mönster som understryker hur central JavaScript-tolken är som angreppsyta.
Den aktuella luckan rapporterades till Google den 27 april 2026 av en anonym forskare som går under signaturen ”303f06e3”, och belöningen blev 55 000 dollar. Tiden från rapport till patch landade på drygt sex veckor, vilket är snabbt för en så pass utbredd produkt, men angripare har enligt Google redan utnyttjat hålet skarpt.
I samma utgåva av Chrome rättas totalt 74 säkerhetsfel, varav en stor del är så kallade use-after-free-buggar, en återkommande typ av minneskorruption i moderna webbläsare.
Så uppdaterar du Chrome på tre klick
Uppdateringen är gratis och behöver inga andra åtgärder än att starta om webbläsaren när den är hämtad. Gör så här:
-
Klicka på trepunktsmenyn uppe till höger i Chrome.
-
Välj ”Hjälp” och därefter ”Om Google Chrome”.
-
Chrome söker automatiskt efter uppdateringar. Klicka på ”Starta om” när den är hämtad.
Efter omstarten ska versionsnumret visa 149.0.7827.102 eller högre på Windows och Linux, respektive 149.0.7827.103 på macOS. Företag och organisationer som styr Chrome-uppdateringar centralt bör rulla ut den nya versionen omedelbart, eftersom Google noterar att den ordinarie utrullningen sker över de kommande dagarna och veckorna.
För svenska användare, där Chrome enligt vedertagen marknadsstatistik är den dominerande webbläsaren, är rådet enkelt: kontrollera versionen idag och starta om om en uppdatering väntar.
