Microsoft meldt kritieke rechtenlekken in Exchange Online en 365 Copilot
In dit artikel:
Microsoft heeft twee kwetsbaarheden in Exchange Online en Microsoft 365 Copilot gedicht die aanvallers in theorie hadden kunnen gebruiken om hun rechten op te hogen. Het gaat om CVE-2026-54998 in Exchange Online en CVE-2026-41106 in Copilot, beide door Microsoft als kritiek aangemerkt, terwijl dit soort ‘elevation of privilege’-lekken normaal minder zwaar wegen.
Volgens Microsoft zat het probleem in Exchange Online in een fout rond autorisatie, waardoor een onbevoegde aanvaller via het netwerk hogere rechten had kunnen krijgen. Die kwetsbaarheid werd gemeld door een externe onderzoeker. Bij Copilot ging het om een open redirect, waarbij een gebruiker naar een onbetrouwbare website kon worden doorgestuurd en zo mogelijk ook rechten kon verhogen; dit lek werd door Microsoft zelf ontdekt. Het bedrijf zegt geen aanwijzingen te hebben dat de bugs al misbruikt zijn en meldt dat klanten niets hoeven te doen, omdat de fixes al zijn doorgevoerd.
Vandaag Inside Oranje: Chris Woerts onthult clausule in contract Max Verstappen: 'Hij kan weg bij Red Bull'