Microsoft Copilot: Web siteleri, yapay zekaya gizlice komutlar verebilir

Microsoft, 14 Temmuz Salı günü yapılan güvenlik güncellemesi kapsamında Copilot’taki kritik bir güvenlik açığını giderdi. CVE-2026-48561 numarasıyla takip edilen bu güvenlik açığı, 10 üzerinden 9,6 CVSS puanı taşıyor ve bu da onu ayın en ciddi güvenlik açıkları arasına yerleştiriyor. Bu güvenlik açığını, güvenlik firması Enclave'den Ofek Levin bildirdi.
Tek gereken bir web sitesiydi
Saldırı yolu tarayıcı üzerinden gerçekleşti. Microsoft'a göre, bir saldırgan, Android için Microsoft Edge'i kandırarak cihazdaki Copilot'a özel olarak hazırlanmış komut istemleri göndermesini sağlayan kötü amaçlı bir web sitesi barındırabilirdi. Sayfayı ziyaret etmek yeterliydi.
Asıl sorun, bu isteklerin nasıl işlendiğinde yatıyordu. Etkilenen bileşen, onay istemeden bu istekleri kabul etti ve bunların nereden geldiğini hiçbir zaman kontrol etmedi; dolayısıyla istemler, kullanıcı farkına varmadan işleme alındı. Microsoft, bunun sonucunda Copilot’ta verilerin okunması veya değiştirilmesi gibi istenmeyen eylemlerin gerçekleşebileceğini belirtiyor. Şirket, bu güvenlik açığını komut enjeksiyonu olarak sınıflandırıyor.
Bu uygulamalar güvenlik bildiriminde listelenmiştir
:
Microsoft, etkilenen iki ürünü, iOS için Microsoft 365 Copilot ve Android için Microsoft 365 Copilot olarak belirtmiştir. Ancak saldırının açıklamasında yalnızca Android için Edge'den bahsedilmektedir. Microsoft bu tutarsızlığı açıklamamaktadır.
Dikkat çeken başka bir nokta daha var. Duyurudaki güncelleme bağlantıları, her iki platformda da Copilot uygulamasına yönlendirmiyor. Bu bağlantılar, App Store ve Google Play’deki Microsoft Edge’e yönlendiriyor. Microsoft, düzeltmeyi içeren bir derleme numarası belirtmiyor ve Edge Mobile sürüm notlarında da bu güvenlik açığından bahsedilmiyor. Android ve iOS için en son sürüm olan 150.0.4078.65, 13 Temmuz’da yayınlandı.
Şu anda yapmanız gerekenler
Öncelikle iyi haber: Bu güvenlik açığı, Patch Tuesday öncesinde kamuoyuna açıklanmamıştı ve Microsoft, bu açığın hiçbir zaman istismar edilmediğini belirtiyor. Çalışan bir istismar yöntemi mevcut değil ve Microsoft da bu açığın istismar edilme olasılığını düşük olarak değerlendiriyor. Bu açık, CISA’nın bilinen istismar edilmiş güvenlik açıkları listesinde yer almıyor.
Microsoft sürüm numarasını açıklamayacağından, pratikte yapılacak en basit şey şudur: Android’de Play Store veya iOS’ta App Store üzerinden Copilot uygulamasını ve Microsoft Edge’i güncel tutun. Telefonunuzda Copilot’u hiç kullanmıyorsanız, uygulamayı silmeniz yeterlidir.
Bu tür ilk vaka değil
Kullanıcılar ile yapay zeka asistanları arasına sızan saldırılar giderek yaygınlaşıyor. Haziran sonunda, ChatGPT ve Gemini ile yapılan sohbetleri okuyabilen ChatGPT ve Gemini ile yapılan sohbetleri okuyabilenortaya çıktı. Yapay zeka asistanlarınızın hakkınızda ne tür bilgiler sakladığını ve bunu nasıl devre dışı bırakabileceğinizi öğrenmek istiyorsanız, depolama ayarları hakkındaki genel bakışımız bu konuyu adım adım anlatıyor. Copilot'u iş gününüzden uzak tutmak isterseniz, Microsoft Teams'de Copilot ve Facilitator'ı devre dışı bırakabilirsiniz.
Kaynak(lar)
Top 10
» Top 10 Multimedia Notebook listesi
» Top 10 oyun notebooku
» Top 10 bütçeye uygun Ofis/İş Notebook Listesi
» Top 10 Premium Ofis/İş notebookları
» Top 10 Çalışma istasyonu laptopları
» Top 10 Subnotebook listesi
» Top 10 Ultrabooklar
» En iyi 10 dönüştürülebilir modeli
» Seçimi en iyi 10 tablet
» Notebookcheck Top 10 Windows Tabletleri
» Top 10 Subnotebook listesi
» NotebookCheck tarafından incelenen en iyi Notebook ekranları
» Notebookcheck'in 500 Euro altındaki en iyi 10 Notebook listesi
» NotebookCheck tarafından seçilen 300 Euro altındaki en iyi 10 Notebook
» Notebookcheck'in 500 Euro altındaki en iyi 10 Notebook listesi
» Notebookcheck'in Top 10 akıllı telefon listesi
» Notebookcheck'in Top 10 hafif oyun notebookları






