Nieuws
image

Microsoft dicht weer kritieke Copilot-lekken die datadiefstal mogelijk maakten

vrijdag 20 maart 2026, 16:19 door Redactie, 7 reacties

Microsoft heeft wederom verschillende kritieke kwetsbaarheden in chatbot Copilot gepatcht waardoor aanvallers data van gebruikers hadden kunnen stelen. "Information disclosure" beveiligingslekken worden over het algemeen niet als kritiek aangemerkt, maar dat is bij CVE-2026-24299 en CVE-2026-26136 wel het geval. De problemen zijn aanwezig in respectievelijk Microsoft 365 Copilot en Microsoft Copilot.

Volgens de beschrijving van Microsoft ging de AI-chatbot niet goed om met speciale elementen in een commando, waardoor command injection mogelijk is en een ongeautoriseerde aanvaller informatie had kunnen stelen. Verdere details over de twee problemen zijn niet gegeven. De impact van de twee kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 5.3 en 6.5. Ondanks deze lage impactscore spreekt Microsoft toch over kritieke kwetsbaarheden.

Beide problemen waren door externe onderzoekers gerapporteerd. Verdere details over de kwetsbaarheden en hoe een aanvaller hier misbruik van zou kunnen maken zijn niet gegeven. Microsoft merkt op dat de updates inmiddels zijn doorgevoerd en gebruikers geen actie hoeven te ondernemen. In januari verhielp Microsoft ook al twee kritieke Copilot-kwetsbaarheden die diefstal van informatie mogelijk maakten.

Reacties (7)
Reageer met quote
21-03-2026, 18:45 door Rubbertje
Microsoft merkt op dat de updates inmiddels zijn doorgevoerd en gebruikers geen actie hoeven te ondernemen.
Wat een idioterie weer allemaal. Geen updates handmatig kunnen uitvoeren. Ik moet het hier lezen op security.nl dat er een verandering heeft plaatsgevonden onder de motorkap van mijn laptop. Waarom krijg ik daar als gebruiker geen bericht over van Microsoft?
Reageer met quote
21-03-2026, 22:05 door Anoniem
Door Rubbertje:
Microsoft merkt op dat de updates inmiddels zijn doorgevoerd en gebruikers geen actie hoeven te ondernemen.
Wat een idioterie weer allemaal. Geen updates handmatig kunnen uitvoeren. Ik moet het hier lezen op security.nl dat er een verandering heeft plaatsgevonden onder de motorkap van mijn laptop. Waarom krijg ik daar als gebruiker geen bericht over van Microsoft?
Microsoft rules! Het is jouw software niet. Daarom ben je niet in control. Dat is precies de reden waarom vrije software/opensource is ontstaan dankzij RMS.
Reageer met quote
22-03-2026, 00:55 door Anoniem
Ik heb de Copilot lekken zelf gedicht door Microslop te vervangen door Linux.
Reageer met quote
23-03-2026, 12:18 door Anoniem
Door Anoniem: Ik heb de Copilot lekken zelf gedicht door Microslop te vervangen door Linux.
Heel verstandig....
Reageer met quote
23-03-2026, 12:21 door Anoniem
Door Anoniem: Ik heb de Copilot lekken zelf gedicht door Microslop te vervangen door Linux.

Voegt echt wat toe aan het artikel!
Jammer...

Helemaal prima om Linux te gebruiken, en ook zeker in veel situaties een goed alternatief.
Maar het staat m.i. los van CoPilot lekken.

Stel je gebruikt Linux, kan je nog Office Online en dus CoPilot gebruiken.
Stel je gebruikt Linux maar geen CoPIlot maar een andere Tool denk aan CHatGPT. Die zijn ook niet vrij van lekken.
en zullen dat ook nooit zijn.

Het blijft een kat en muisspel.
Goed dat ze het gedicht hebben!
Begrijp wel de reactie van Rubbertje. als er een security update is geweest is het wel fijn dit ergens te kunnen lezen wat hieraan ten grondslag heeft gelegen. Denk alleen dat als je dit voor alles wilt hebben wat je gebruikt, dat je mogelijk een dagtaak hebt.
Reageer met quote
24-03-2026, 11:38 door Anoniem
Door Rubbertje:
Microsoft merkt op dat de updates inmiddels zijn doorgevoerd en gebruikers geen actie hoeven te ondernemen.
Wat een idioterie weer allemaal. Geen updates handmatig kunnen uitvoeren. Ik moet het hier lezen op security.nl dat er een verandering heeft plaatsgevonden onder de motorkap van mijn laptop. Waarom krijg ik daar als gebruiker geen bericht over van Microsoft?

Dit komt omdat deze 'software' helemaal niet draait op jouw laptop. Het is cloud software dus ondanks dat jij een co-pilot knop op je laptop hebt, vindt de daadwerkelijk verwerking plaats in de Microsoft cloud.

Verder zijn dit soort zaken heel normaal binnen veel software. Spellingscontrole vindt ook vaak 'extern' plaats en ik neem aan dat jij niet handmatig anti-virus updates installeert. Dat doet Microsoft voor je...

Het enige bijzondere aan je comment is dat je eigenlijk helemaal niet weet hoe (de meeste) software tegenwoordig werkt. En daar kan Microsoft ook niets aan doen.
Reageer met quote
24-03-2026, 15:57 door Anoniem
Door Anoniem:
Door Rubbertje:
Microsoft merkt op dat de updates inmiddels zijn doorgevoerd en gebruikers geen actie hoeven te ondernemen.
Wat een idioterie weer allemaal. Geen updates handmatig kunnen uitvoeren. Ik moet het hier lezen op security.nl dat er een verandering heeft plaatsgevonden onder de motorkap van mijn laptop. Waarom krijg ik daar als gebruiker geen bericht over van Microsoft?

Dit komt omdat deze 'software' helemaal niet draait op jouw laptop. Het is cloud software dus ondanks dat jij een co-pilot knop op je laptop hebt, vindt de daadwerkelijk verwerking plaats in de Microsoft cloud.

Verder zijn dit soort zaken heel normaal binnen veel software. Spellingscontrole vindt ook vaak 'extern' plaats en ik neem aan dat jij niet handmatig anti-virus updates installeert. Dat doet Microsoft voor je...

Het enige bijzondere aan je comment is dat je eigenlijk helemaal niet weet hoe (de meeste) software tegenwoordig werkt. En daar kan Microsoft ook niets aan doen.
Het maakt niet uit waar het draait. Het is allemaal lage kwaliteit software. Microsoft vindt gebruikers informeren niet nodig. Ze weten het toch altijd beter. Microsoft rules! niet de gebruiker.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Salt Road Compromised Components