Cybernoz · 10.5., 12:15 · sikkerhet

Microsoft tetter tre kritiske CVE-er i 365 Copilot: én er kommando-injeksjon i Edge

SYNOPSIS_GENERERT

Hva skjer når én KI-assistent får tilgang til e-post, dokumenter og Teams-samtaler i samme kontekst? Microsoft fikset denne uka tre kritiske informasjonslekkasje-feil i Microsoft 365 Copilot og Copilot Chat i Edge: CVE-2026-26129, CVE-2026-26164 og CVE-2026-33111. Alle tre lar uautoriserte angripere lekke sensitiv informasjon over nettverk uten brukerinteraksjon. CVE-2026-33111 er kommando-injeksjon (CWE-77) i Copilot Chat innebygd i Edge, og CVSS-scoren ligger på 7,5. Microsoft fikset alt på sin side under Cloud Service CVE-transparensprogrammet, så ingen brukerhandling kreves.

CVE-detaljer

CVE-2026-26129, CVE-2026-26164 og CVE-2026-33111 deler kategorien «kritisk – informasjonslekkasje over nettverk», ifølge Microsoft. CVE-2026-33111 har i tillegg CWE-77 kommando-injeksjon i seg, fordi feilen sitter i Copilot Chat-komponenten innebygd i Edge.

Hva betyr Cloud Service CVE

Microsoft har de siste to årene rullet ut Cloud Service CVE-transparensprogrammet for å registrere sky-side feil i CVE-databasen, selv om kunder ikke trenger å patche selv. Du får en CVE å spore mot SOC-loggene dine, men oppdateringen er allerede live.

Hva betyr dette for deg

Har du Copilot for Microsoft 365 i bedriften, sjekk audit-loggene for unormale tilkoblinger eller dataeksport-mønstre i perioden mellom feilens introduksjon og fix. Microsoft har ikke publisert datoer i CVE-rapportene, så bredeste vindu er anbefalt. For deg som piller med Copilot Chat i hjemmeprosjekter er sårbarheten lukket på server-siden, og ingen videre handling kreves.

Åpne eksternt kildedokument

sikkerhet Microsoft

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN