Microsoft dicht kritieke Copilot-lekken die datadiefstal mogelijk maken

[Captain Kirk]

Microsoft heeft meerdere kritieke kwetsbaarheden in chatbot Copilot verholpen waardoor aanvallers informatie hadden kunnen stelen. "Information disclosure" beveiligingslekken worden over het algemeen niet als kritiek aangemerkt. Microsoft besloot dat voor CVE-2026-26129, CVE-2026-26164 en CVE-2026-33111 wel te doen. Het gaat om kwetsbaarheden in M365 Copilot en Copilot Chat binnen Microsoft Edge.

CVE-2026-26129 en CVE-2026-26164 in M365 Copilot zijn twee problemen die ontstaan doordat de chatbot niet goed omgaat met 'speciale elementen', waardoor een ongeautoriseerde aanvaller informatie kan stelen. Microsoft geeft geen verdere details over beide problemen. CVE-2026-33111 in Copilot Chat betreft ook het niet goed verwerken van speciale elementen en is te misbruiken door middel van command injection. Ook bij dit lek zijn geen verdere details gegeven. Microsoft heeft de drie problemen verholpen en gebruikers hoeven geen actie te ondernemen.

 

bron: https://www.security.nl