Nieuws
image

Kritieke lekken in Microsoft Copilot konden aanvaller informatie laten stelen

vrijdag 23 januari 2026, 17:15 door Redactie, 10 reacties

Microsoft heeft kritieke kwetsbaarheden in AI-chatbot Copilot gepatcht waardoor aanvallers informatie van gebruikers konden stelen. De "information disclosure" kwetsbaarheden waren aanwezig in Word Copilot (CVE-2026-21521) en M365 Copilot (CVE-2026-24307). Volgens de beschrijving van Microsoft ging de AI-chatbot niet goed om met bepaalde gebruikersinvoer, waardoor een ongeautoriseeerde aanvaller informatie had kunnen stelen.

Verdere details over de twee problemen zijn niet gegeven. De impact van de twee kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 7.4 en 9.3. Ook in het geval van het Word Copilot-lek, dat de impactscore van 7.4 kreeg, spreekt Microsoft van een kritieke kwetsbaarheid. Beide problemen waren door externe onderzoekers gerapporteerd. Microsoft merkt op dat de updates inmiddels zijn doorgevoerd en gebruikers geen actie hoeven te ondernemen.

Reacties (10)
Reageer met quote
23-01-2026, 18:50 door Anoniem
Als de aanvaller het niet doet, dan regelt microsoft zelf wel dat het bij hen niet veilig is... Zie het artikel over bitlocker. Heb je helemaal geen 'lek' voor nodig...
Reageer met quote
23-01-2026, 20:03 door Anoniem
Zou de kwetsbaarheid niet gewoon een Prompt Injection aanval kunnen zijn? Wat je volgens Bruce Schneier blijft houden zolang je de data en de control channel niet scheidt. Wat je neurale netwerk krijgt is een stroom van data en control en soms kan het netwerk die niet uit elkaar houden en gaat die dingen in data uitvoeren.
Reageer met quote
24-01-2026, 22:13 door Anoniem
Voor zover ik weet heb ik nog geen patch/update aangeboden gekregen...
Reageer met quote
25-01-2026, 07:53 door Drs Security en Privacy
Ik ben benieuwd waneer ze de volgende serie aan CVE's voor dit probleem gaan uitbrengen.
Dit klink gewoon als een prompt injection aanval, iets waarvan inmiddels duidelijk is dat daar geen echte oplossing voor bestaat (anders dan deze meuk niet te gebruiken).
Juni vorig jaar moesten ze ook al kritieke lekken in dit spul oplossen.
Wat mij betreft is co-pilot het kritieke lek.
Reageer met quote
25-01-2026, 07:54 door Drs Security en Privacy
Door Anoniem: Zou de kwetsbaarheid niet gewoon een Prompt Injection aanval kunnen zijn? Wat je volgens Bruce Schneier blijft houden zolang je de data en de control channel niet scheidt. Wat je neurale netwerk krijgt is een stroom van data en control en soms kan het netwerk die niet uit elkaar houden en gaat die dingen in data uitvoeren.
En zelfs dan kan je je afvragen of dat een oplossing gaat zijn.
Reageer met quote
25-01-2026, 12:04 door Anoniem
Er is maar 1 oplossing stop met Copilot!
Reageer met quote
26-01-2026, 08:15 door Anoniem
het wordt enorm onderschat wat AI eigenlijk is, AI is een machtsgreep, macht vereist centralisatie

lees: " Microsoft merkt op dat de updates inmiddels zijn doorgevoerd en gebruikers geen actie hoeven te ondernemen."

maw, Microsoft heeft dat voor jou gedaan, net zoals ze éérst de cloud patches en misschien niet-cloud producten

social media, cloud en AI zijn peilers van digitale transformatie, je weet nu wat je kocht
Reageer met quote
26-01-2026, 09:52 door Anoniem
Door Anoniem: Als de aanvaller het niet doet, dan regelt microsoft zelf wel dat het bij hen niet veilig is... Zie het artikel over bitlocker. Heb je helemaal geen 'lek' voor nodig...
Dat artikel over bitlocker, dat waarbij Microsoft gewoon de wet volgt?
Reageer met quote
27-01-2026, 13:50 door Anoniem
Door Anoniem:
Door Anoniem: Als de aanvaller het niet doet, dan regelt microsoft zelf wel dat het bij hen niet veilig is... Zie het artikel over bitlocker. Heb je helemaal geen 'lek' voor nodig...
Dat artikel over bitlocker, dat waarbij Microsoft gewoon de wet volgt?
Bigtech volgt de wet niet meer, dankzij DT voelen ze zich onoverwinnelijk.
Reageer met quote
27-01-2026, 16:38 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Als de aanvaller het niet doet, dan regelt microsoft zelf wel dat het bij hen niet veilig is... Zie het artikel over bitlocker. Heb je helemaal geen 'lek' voor nodig...
Dat artikel over bitlocker, dat waarbij Microsoft gewoon de wet volgt?
Bigtech volgt de wet niet meer, dankzij DT voelen ze zich onoverwinnelijk.
Zie https://www.universiteitleiden.nl/en/in-the-media/2025/01/state-sovereignty-undermined-by-big-tech-companies
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Image