Microsoft heeft wederom verschillende kritieke kwetsbaarheden in chatbot Copilot gepatcht waardoor aanvallers data van gebruikers hadden kunnen stelen. "Information disclosure" beveiligingslekken worden over het algemeen niet als kritiek aangemerkt, maar dat is bij CVE-2026-24299 en CVE-2026-26136 wel het geval. De problemen zijn aanwezig in respectievelijk Microsoft 365 Copilot en Microsoft Copilot.
Volgens de beschrijving van Microsoft ging de AI-chatbot niet goed om met speciale elementen in een commando, waardoor command injection mogelijk is en een ongeautoriseerde aanvaller informatie had kunnen stelen. Verdere details over de twee problemen zijn niet gegeven. De impact van de twee kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 5.3 en 6.5. Ondanks deze lage impactscore spreekt Microsoft toch over kritieke kwetsbaarheden.
Beide problemen waren door externe onderzoekers gerapporteerd. Verdere details over de kwetsbaarheden en hoe een aanvaller hier misbruik van zou kunnen maken zijn niet gegeven. Microsoft merkt op dat de updates inmiddels zijn doorgevoerd en gebruikers geen actie hoeven te ondernemen. In januari verhielp Microsoft ook al twee kritieke Copilot-kwetsbaarheden die diefstal van informatie mogelijk maakten.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.
