Microsoft Copilot: A weboldalak titokban parancsokat adhatnak az AI-nek

A Microsoft július 14-én, a „Patch Tuesday” keretében kijavított egy kritikus biztonsági rést a Copilotban. A CVE-2026-48561 azonosítóval nyilvántartott rés CVSS-pontszáma 10-ből 9,6, ami a hónap legsúlyosabb biztonsági rései közé sorolja. A biztonsági cég, az Enclave munkatársa, Ofek Levin jelentette a hibát.
Ehhez csupán egy weboldalra volt szükség
A támadás a böngészőn keresztül zajlott. A Microsoft szerint egy támadó olyan rosszindulatú weboldalt üzemeltethetett, amely rávezette az Androidra készült Microsoft Edge böngészőt, hogy speciálisan kialakított parancsokat küldjön a készüléken futó Copilotnak. Elég volt csak meglátogatni az oldalt.
Az igazi probléma abban rejlett, hogy ezeket a kéréseket hogyan kezelték. Az érintett komponens megerősítés kérése nélkül fogadta őket, és soha nem ellenőrizte, honnan érkeztek, így a parancsok a felhasználó tudta nélkül futottak le. A Microsoft szerint ez a Copilotban nem kívánt műveletekhez vezethet, például adatok olvasásához vagy módosításához. A hibát parancsbefecskendezésként osztályozza.
Ezek az alkalmazások szerepelnek a biztonsági közleményben
A Microsoft két érintett terméket nevez meg: a Microsoft 365 Copilot for iOS-t és a Microsoft 365 Copilot for Android-ot. A támadás leírása azonban csak az Androidra készült Edge-et említi. A Microsoft nem ad magyarázatot erre az eltérésre.
Van még valami, ami feltűnő. A biztonsági tanácsadásban szereplő frissítési linkek egyik platformon sem a Copilot-alkalmazásra mutatnak. Az App Store-ban és a Google Playen a Microsoft Edge-re mutatnak. A Microsoft sehol sem nevezi meg a javítást tartalmazó verziószámot, és az Edge Mobile kiadási megjegyzései sem említik a hibát. Az Android és iOS legújabb verziója, a 150.0.4078.65, július 13-án jelent meg.
Mit kell tennie most
?
Először is a jó hír: a sebezhetőség a Patch Tuesday előtt nem volt nyilvános, és a Microsoft szerint soha nem használták ki. Nincs működő kihasználási módszer, és maga a Microsoft is kevéssé valószínűnek tartja a kihasználását. A hiba nem szerepel a CISA ismert, kihasznált sebezhetőségek listáján.
Mivel a Microsoft nem nevezi meg a verziót, a legpraktikusabb megoldás a legegyszerűbb. Tartsa naprakészen a Copilot alkalmazást és a Microsoft Edge-et a telefonján az Android esetében a Play Store-on, iOS esetén pedig az App Store-on keresztül. Ha pedig soha nem használja a Copilotot a telefonján, egyszerűen törölje le.
Nem ez az első ilyen eset
Egyre gyakoribbak azok a támadások, amelyek a felhasználók és mesterséges intelligencia-asszisztenseik közé ékelődnek. Június végén felbukkantak álcázott hirdetésblokkolók, amelyek elolvasni tudták a ChatGPT-vel és a Gemini-vel folytatott csevegéseket. Ha szeretnéd megtudni, hogy az AI-asszisztenseid milyen adatokat tárolnak rólad, és hogyan kapcsolhatod ki ezt a funkciót, olvass el áttekintésünk a tárolási beállításokról részletesen bemutatja. Ha pedig inkább ki szeretnéd zárni a Copilotot a munkanapodból, letilthatod a Copilotot és a Facilitatort a Microsoft Teamsben.
Forrás(ok)
» A Top 10 multimédiás noteszgép - tesztek alapján
» A Top 10 játékos noteszgép
» A Top 10 belépő szintű üzleti noteszgép
» A Top 10 üzleti noteszgép
» A Top 10 notebook munkaállomása
» A Top 10 okostelefon - tesztek alapján
» A Top 10 táblagép
» A Top 10 Windows tabletje
» A Top 10 subnotebook - tesztek alapján
» A Top 10 300 euró alatti okostelefonja
» A Top 10 120 euró alatti okostelefonja
» A Top 10 phabletje (>5.5-inch)
» A Top 10 noteszgép 500 EUR (~160.000 HUF) alatt
» A Top 10 "pehelysúlyú" gaming notebookja






