Notebookcheck Logo

Microsoft Copilot: A weboldalak titokban parancsokat adhatnak az AI-nek

A sötétben egy okostelefont tartó kéz, amelynek képernyője világít
ⓘ Towfiqu barbhuiya / Pexels
Egy rosszindulatú weboldal észrevétlenül parancsokat küldhet a Copilotnak az Androidra készült Microsoft Edge böngészőn keresztül. A Microsoft a „Patch Tuesday” keretében kijavította a biztonsági rést.
A Microsoft kijavított egy kritikus biztonsági rést az Androidra és iOS-re készült Copilot-alkalmazásokban. Egy rosszindulatú weboldal a felhasználó tudta nélkül parancsokat küldhetett volna a mesterséges intelligenciának a Microsoft Edge böngészőn keresztül. A biztonsági rés súlyosságát 10-ből 9,6-ra értékelték, és a Microsoft szerint soha nem éltek vele vissza.
Microsoft AI Security Android iOS

A Microsoft július 14-én, a „Patch Tuesday” keretében kijavított egy kritikus biztonsági rést a Copilotban. A CVE-2026-48561 azonosítóval nyilvántartott rés CVSS-pontszáma 10-ből 9,6, ami a hónap legsúlyosabb biztonsági rései közé sorolja. A biztonsági cég, az Enclave munkatársa, Ofek Levin jelentette a hibát.

Ehhez csupán egy weboldalra volt szükség

A támadás a böngészőn keresztül zajlott. A Microsoft szerint egy támadó olyan rosszindulatú weboldalt üzemeltethetett, amely rávezette az Androidra készült Microsoft Edge böngészőt, hogy speciálisan kialakított parancsokat küldjön a készüléken futó Copilotnak. Elég volt csak meglátogatni az oldalt.

Az igazi probléma abban rejlett, hogy ezeket a kéréseket hogyan kezelték. Az érintett komponens megerősítés kérése nélkül fogadta őket, és soha nem ellenőrizte, honnan érkeztek, így a parancsok a felhasználó tudta nélkül futottak le. A Microsoft szerint ez a Copilotban nem kívánt műveletekhez vezethet, például adatok olvasásához vagy módosításához. A hibát parancsbefecskendezésként osztályozza.

Ezek az alkalmazások szerepelnek a biztonsági közleményben

A Microsoft két érintett terméket nevez meg: a Microsoft 365 Copilot for iOS-t és a Microsoft 365 Copilot for Android-ot. A támadás leírása azonban csak az Androidra készült Edge-et említi. A Microsoft nem ad magyarázatot erre az eltérésre.

Van még valami, ami feltűnő. A biztonsági tanácsadásban szereplő frissítési linkek egyik platformon sem a Copilot-alkalmazásra mutatnak. Az App Store-ban és a Google Playen a Microsoft Edge-re mutatnak. A Microsoft sehol sem nevezi meg a javítást tartalmazó verziószámot, és az Edge Mobile kiadási megjegyzései sem említik a hibát. Az Android és iOS legújabb verziója, a 150.0.4078.65, július 13-án jelent meg.

Mit kell tennie most

?

Először is a jó hír: a sebezhetőség a Patch Tuesday előtt nem volt nyilvános, és a Microsoft szerint soha nem használták ki. Nincs működő kihasználási módszer, és maga a Microsoft is kevéssé valószínűnek tartja a kihasználását. A hiba nem szerepel a CISA ismert, kihasznált sebezhetőségek listáján.

Mivel a Microsoft nem nevezi meg a verziót, a legpraktikusabb megoldás a legegyszerűbb. Tartsa naprakészen a Copilot alkalmazást és a Microsoft Edge-et a telefonján az Android esetében a Play Store-on, iOS esetén pedig az App Store-on keresztül. Ha pedig soha nem használja a Copilotot a telefonján, egyszerűen törölje le.

Nem ez az első ilyen eset

Egyre gyakoribbak azok a támadások, amelyek a felhasználók és mesterséges intelligencia-asszisztenseik közé ékelődnek. Június végén felbukkantak álcázott hirdetésblokkolók, amelyek elolvasni tudták a ChatGPT-vel és a Gemini-vel folytatott csevegéseket. Ha szeretnéd megtudni, hogy az AI-asszisztenseid milyen adatokat tárolnak rólad, és hogyan kapcsolhatod ki ezt a funkciót, olvass el áttekintésünk a tárolási beállításokról részletesen bemutatja. Ha pedig inkább ki szeretnéd zárni a Copilotot a munkanapodból, letilthatod a Copilotot és a Facilitatort a Microsoft Teamsben.

Google LogoAdd as a preferred source on Google
Mail Logo
> Magyarország - Kezdőlap > Hírek > News Archive > Newsarchive 2026 07 > Microsoft Copilot: A weboldalak titokban parancsokat adhatnak az AI-nek
Steffen Zahn, 2026-07-15 (Update: 2026-07-15)