Microsoft hitno zatvarao ranjivosti u Copilot servisima - informacije zaštićene
Majkrosoft je zatvarao tri kritične ranjivosti u Copilot servisima koje omogućavaju otkrivanje osetljivih podataka. Sve su već ispravljene na serverskoj strani.
Šta se desilo?
Majkrosoft je 7. maja 2026. godine javno objavio tri kritične sigurnosne ranjivosti u okviru svojih AI asistenta - Microsoft 365 Copilot i Copilot Chat u Microsoft Edge-u. Sve tri greške su klasifikovane kao kritične jer omogućavaju neovlašćeno otkrivanje osetljivih informacija. Kompanija je već uvela zakrpe na своjim serverima, pa krajnjim korisnicima i administratorima nisu potrebne nikakve akcije.
Koga pogađa?
Ranjivosti utiču na sve organizacije koje koriste Microsoft 365 Copilot, posebno one sa širokopriznačnim pristupom AI alata korporativnim podacima. Pogođeni su i korisnici Microsoft Edge-a koji koriste ugrađeni Copilot Chat. Pošto ovi alati imaju pristup e-mailima, dokumentima i Teams razgovorima, rizik je značajno veći u Enterprise okruženjima gde Copilot može pristupiti velikom broju podataka.
Kako se zaštititi?
- Pregledate dozvole pristupa koju ima Copilot u vašoj organizaciji
- Primenite princip najmanje привилегије - ograničite kojem Copilotu pristup samo neophodnim podacima
- Redovno pratite Microsoft Security Center za nove saopštenja o bezbednosti
- Educujte zaposlene da budu oprezni pri deljenju osetljivih informacija kroz AI alate
Tehnički detalji
CVE-2026-26129 utiče na Business Chat komponentu u Microsoft 365 Copilot-u i koristi se nepravilnom neutralizacijom specijalnih znakova (CWE-73). CVE-2026-26164 également pogađa M365 Copilot sa CVSS skorom 7.5 / 6.5 (temporal), klasifikovan kao CWE-74 sa mrežnim vektorom napada, bez potrebe za privilegijama ili interakcijom korisnika. CVE-2026-33111 pogađa Copilot Chat u Microsoft Edge-u, sa istim CVSS skorom od 7.5 / 6.5, klasifikovan kao CWE-77 (Command Injection). Sve tri ranjivosti su ranjivosti na strani cloud servisa što znači da su već ispravljene na serverskoj strani.
Preporuka Sajber Radara
Iako Majkrosoft već nema potrebe za hitnim akcijama korisnika, preporučujemo da Security timovi pregleda podatke kojima Copilot ima pristup i primeni detaljne kontrole pristupa. Ranjivosti u AI alatima predstavljaju novu vrstu rizika jer mogu da procurele velike količine organizacionih informacija kroz ugnježdene injections.