Kritieke lekken in Exchange Online en Copilot maakten datadiefstal mogelijk

In dit artikel:

Microsoft heeft vier ernstige beveiligingslekken in Exchange Online en M365 Copilot dichtgeplakt die het stelen van gegevens mogelijk maakten en in één geval zelfs remote code execution (RCE) konden toelaten. Het gaat om CVE-2026-48579 (Exchange Online) veroorzaakt door onjuiste autorisatie, en CVE-2026-42824, CVE-2026-45497 (M365 Copilot) plus CVE-2026-47644 (Copilot Chat voor Microsoft Edge), waarbij de chatbot niet goed omging met bepaalde speciale elementen, wat tot command injection kon leiden.

Het bedrijf ontdekte de fouten zelf, claimt geen aanwijzingen voor misbruik en heeft de fixes stilzwijgend uitgerold; gebruikers hoeven volgens Microsoft geen actie te ondernemen. Microsoft gaf geen technische details vrij en publiceerde de melding uit transparantie.