Notebookcheck Logo

Microsoft Copilot: Web siteleri, yapay zekaya gizlice komutlar verebilir

Karanlıkta parlayan ekranlı bir akıllı telefonu tutan el
ⓘ Towfiqu barbhuiya / Pexels
Kötü niyetli bir web sitesi, Android için Microsoft Edge aracılığıyla Copilot’a fark edilmeden komutlar gönderebilir. Microsoft, bu güvenlik açığını “Patch Tuesday” kapsamında düzeltti.
Microsoft, Android ve iOS için geliştirilen Copilot uygulamalarındaki kritik bir güvenlik açığını giderdi. Kötü niyetli bir web sitesi, kullanıcının farkına varmadan Microsoft Edge aracılığıyla yapay zekaya komutlar gönderebiliyordu. Bu güvenlik açığı 10 üzerinden 9,6 olarak derecelendirildi ve Microsoft, bu açığın hiçbir zaman istismar edilmediğini belirtiyor.

Microsoft, 14 Temmuz Salı günü yapılan güvenlik güncellemesi kapsamında Copilot’taki kritik bir güvenlik açığını giderdi. CVE-2026-48561 numarasıyla takip edilen bu güvenlik açığı, 10 üzerinden 9,6 CVSS puanı taşıyor ve bu da onu ayın en ciddi güvenlik açıkları arasına yerleştiriyor. Bu güvenlik açığını, güvenlik firması Enclave'den Ofek Levin bildirdi.

Tek gereken bir web sitesiydi

Saldırı yolu tarayıcı üzerinden gerçekleşti. Microsoft'a göre, bir saldırgan, Android için Microsoft Edge'i kandırarak cihazdaki Copilot'a özel olarak hazırlanmış komut istemleri göndermesini sağlayan kötü amaçlı bir web sitesi barındırabilirdi. Sayfayı ziyaret etmek yeterliydi.

Asıl sorun, bu isteklerin nasıl işlendiğinde yatıyordu. Etkilenen bileşen, onay istemeden bu istekleri kabul etti ve bunların nereden geldiğini hiçbir zaman kontrol etmedi; dolayısıyla istemler, kullanıcı farkına varmadan işleme alındı. Microsoft, bunun sonucunda Copilot’ta verilerin okunması veya değiştirilmesi gibi istenmeyen eylemlerin gerçekleşebileceğini belirtiyor. Şirket, bu güvenlik açığını komut enjeksiyonu olarak sınıflandırıyor.

Bu uygulamalar güvenlik bildiriminde listelenmiştir

:

Microsoft, etkilenen iki ürünü, iOS için Microsoft 365 Copilot ve Android için Microsoft 365 Copilot olarak belirtmiştir. Ancak saldırının açıklamasında yalnızca Android için Edge'den bahsedilmektedir. Microsoft bu tutarsızlığı açıklamamaktadır.

Dikkat çeken başka bir nokta daha var. Duyurudaki güncelleme bağlantıları, her iki platformda da Copilot uygulamasına yönlendirmiyor. Bu bağlantılar, App Store ve Google Play’deki Microsoft Edge’e yönlendiriyor. Microsoft, düzeltmeyi içeren bir derleme numarası belirtmiyor ve Edge Mobile sürüm notlarında da bu güvenlik açığından bahsedilmiyor. Android ve iOS için en son sürüm olan 150.0.4078.65, 13 Temmuz’da yayınlandı.

Şu anda yapmanız gerekenler

Öncelikle iyi haber: Bu güvenlik açığı, Patch Tuesday öncesinde kamuoyuna açıklanmamıştı ve Microsoft, bu açığın hiçbir zaman istismar edilmediğini belirtiyor. Çalışan bir istismar yöntemi mevcut değil ve Microsoft da bu açığın istismar edilme olasılığını düşük olarak değerlendiriyor. Bu açık, CISA’nın bilinen istismar edilmiş güvenlik açıkları listesinde yer almıyor.

Microsoft sürüm numarasını açıklamayacağından, pratikte yapılacak en basit şey şudur: Android’de Play Store veya iOS’ta App Store üzerinden Copilot uygulamasını ve Microsoft Edge’i güncel tutun. Telefonunuzda Copilot’u hiç kullanmıyorsanız, uygulamayı silmeniz yeterlidir.

Bu tür ilk vaka değil

Kullanıcılar ile yapay zeka asistanları arasına sızan saldırılar giderek yaygınlaşıyor. Haziran sonunda, ChatGPT ve Gemini ile yapılan sohbetleri okuyabilen ChatGPT ve Gemini ile yapılan sohbetleri okuyabilenortaya çıktı. Yapay zeka asistanlarınızın hakkınızda ne tür bilgiler sakladığını ve bunu nasıl devre dışı bırakabileceğinizi öğrenmek istiyorsanız, depolama ayarları hakkındaki genel bakışımız bu konuyu adım adım anlatıyor. Copilot'u iş gününüzden uzak tutmak isterseniz, Microsoft Teams'de Copilot ve Facilitator'ı devre dışı bırakabilirsiniz.

Google LogoAdd as a preferred source on Google
Mail Logo
> Notebooklar Hakkında Aradığınız Herşey > Haberler > Haber Arşivi > Haber arşivi 2026 07 > Microsoft Copilot: Web siteleri, yapay zekaya gizlice komutlar verebilir
Steffen Zahn, 2026-07-15 (Update: 2026-07-15)