Drei kritische Sicherheitslücken in Copilot offenbaren sensible Daten

Microsoft hat die Existenz dreier schwerwiegender Sicherheitslücken in seinen KI-Diensten Microsoft 365 Copilot und Copilot Chat im Browser Edge eingeräumt. Nach Angaben des Unternehmens wurden die Schwachstellen bereits vollständig behoben.
Microsoft, Ki, Künstliche Intelligenz, AI, Qualcomm, Artificial Intelligence, OpenAI, ChatGPT, Chatbot, Microsoft Copilot, Copilot+ PC, Qualcomm Snapdragon X Elite, Copilot Pro, Snapdragon X, Qualcomm Snapdragon X Plus, Qualcomm Snapdragon X

Korrekturen sind erfolgt

Die Korrekturen erfolgten dem Vernehmen nach vollständig auf Server-Seite, sodass Nutzer und Administratoren keine Updates installieren oder Einstellungen ändern müssen. Wie das Microsoft Security Response Center mitteilte, handelt es sich um die Sicherheitslücken CVE-2026-26129, CVE-2026-26164 und CVE-2026-33111. Alle drei werden als "kritisch" eingestuft und betreffen mögliche Informationsabflüsse. Nach Angaben des Konzerns gab es vor der Veröffentlichung keine Hinweise auf aktive Angriffe oder öffentliche Bekanntmachungen der Schwachstellen.

Zwei der Schwachstellen betreffen Microsoft 365 Copilot, insbesondere die Funktion "Business Chat". Dort könnten Angreifer durch manipulierte Eingaben vertrauliche Daten auslesen. Ursache ist laut Microsoft eine fehlerhafte Verarbeitung spezieller Zeichenfolgen innerhalb der KI-Ausgabe. Die Sicherheitslücken lassen sich über das Netzwerk ausnutzen und erfordern weder besondere Zugriffsrechte noch eine Interaktion der Anwender.


Die dritte Schwachstelle betrifft Copilot Chat in Microsoft Edge. Sie wird als sogenannte Command-Injection-Lücke beschrieben. Dabei können eingeschleuste Befehle ebenfalls dazu führen, dass sensible Informationen offengelegt werden. Besonders problematisch ist dies, weil der Edge-Browser in vielen Unternehmen standardmäßig eingesetzt wird.

Wachsendes Risiko

Sicherheitsforscher sehen darin ein Beispiel für die wachsenden Risiken KI-gestützter Produktivitätswerkzeuge. Systeme wie Microsoft 365 Copilot greifen auf große Mengen interner Unternehmensdaten zu, darunter E-Mails, Dokumente oder Chats aus Microsoft Teams. Fehler in der Verarbeitung solcher Daten können deshalb dazu führen, dass vertrauliche Informationen unbeabsichtigt offengelegt werden.

In Unternehmen mit umfangreichen Zugriffsrechten für Copilot könnten laut Experten unter anderem Geschäftsgeheimnisse, interne Kommunikation oder sensible Dokumente betroffen sein. Microsoft empfiehlt daher, trotz der bereits erfolgten Absicherung, die Berechtigungen von Copilot-Diensten regelmäßig zu überprüfen und Zugriffe möglichst restriktiv zu vergeben.

Copilot+ PCs bei Media Markt Ab sofort stark reduziert! Zum Angebot
Zusammenfassung
  • Microsoft hat drei kritische Sicherheitslücken in M365 Copilot und Copilot Chat eingeräumt
  • Server-seitige Korrekturen machten Software-Updates für Nutzer überflüssig
  • Die Schwachstellen trugen die Bezeichnungen CVE-2026-26129, CVE-2026-26164 und CVE-2026-33111
  • Zwei Lücken in M365 Copilot erlaubten das Auslesen vertraulicher Daten durch manipulierte Eingaben
  • Eine Command-Injection-Lücke wurde in Copilot Chat im Edge-Browser gefunden
  • Copilot greift auf E-Mails, Dokumente und Teams-Chats in Unternehmen zu
  • Microsoft empfiehlt die regelmäßige Überprüfung der Copilot-Zugriffsberechtigungen

Siehe auch:
Thema:
Sicherheitslücken
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Beliebte Downloads
Weitere Downloads
Beliebt im Preisvergleich
Internet Security Preisvergleich
Neue Nachrichten
Themenübersicht
Beliebte Nachrichten
Videos
  • Neueste
  • Beliebte
  • Empfehlung
Mehr Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
Christian Kahle
Tipp einsenden
Hinweise zum Einsenden von Tipps
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!