Microsoft Copilot: Webseiten konnten der KI heimlich Befehle geben

Beim Patchday am 14. Juli hat Microsoft eine kritische Schwachstelle in Copilot geschlossen. Sie läuft unter der Kennung CVE-2026-48561 und kommt auf einen CVSS-Wert von 9.6 von 10 möglichen Punkten. Damit gehört sie zu den schwersten Einträgen des Monats. Gemeldet hat sie Ofek Levin vom Sicherheitsunternehmen Enclave.
Eine Webseite genügte
Der Weg führte über den Browser. Ein Angreifer konnte laut Microsoft eine bösartige Webseite betreiben, die Microsoft Edge für Android dazu bringt, automatisch präparierte Prompts an Copilot auf dem Gerät zu schicken. Mehr als der Besuch der Seite war nicht nötig.
Der eigentliche Fehler steckte in der Verarbeitung. Die betroffene Komponente nahm diese Anfragen ohne Rückfrage entgegen und prüfte auch nicht, woher sie stammen. Die Prompts liefen durch, ohne dass der Nutzer etwas davon mitbekam. Als mögliche Folge nennt Microsoft unbeabsichtigte Aktionen in Copilot, etwa Zugriff auf Daten oder deren Veränderung. Technisch ordnet Microsoft das als Command Injection ein.
Diese Apps stehen im Advisory
Microsoft führt zwei betroffene Produkte auf, Microsoft 365 Copilot für iOS und Microsoft 365 Copilot für Android. Die Beschreibung des Angriffswegs nennt allerdings nur Edge für Android. Diese Unschärfe löst Microsoft nicht auf.
Auffällig ist noch etwas. Die im Advisory hinterlegten Update-Links führen bei beiden Einträgen nicht zu einer Copilot-App, sondern zu Microsoft Edge im App Store und bei Google Play. Eine Build-Nummer, ab der die Lücke geschlossen ist, nennt Microsoft nicht. Auch die Versionshinweise für Edge Mobile führen die Schwachstelle nicht auf. Die jüngste Fassung 150.0.4078.65 für Android und iOS stammt vom 13. Juli.
Was du jetzt tun solltest
Vorweg die Entwarnung. Die Lücke war vor dem Patchday nicht öffentlich bekannt, und ausgenutzt wurde sie nach Angaben von Microsoft ebenfalls nicht. Einen funktionierenden Exploit gibt es bislang nicht, Microsoft selbst hält eine Ausnutzung für eher unwahrscheinlich. In der Liste bekannter ausgenutzter Schwachstellen der US-Behörde CISA taucht der Eintrag nicht auf.
Weil Microsoft keine Version nennt, bleibt der pragmatische Weg. Halte die Copilot-App und Microsoft Edge auf dem Smartphone aktuell, unter Android über den Play Store, unter iOS über den App Store. Wer Copilot auf dem Handy ohnehin nicht nutzt, kann die App auch löschen.
Nicht der erste Fall dieser Art
Angriffe, die sich zwischen Nutzer und KI-Assistent schieben, häufen sich. Ende Juni wurden getarnte Ad-Blocker bekannt, die Chats mit ChatGPT und Gemini mitlesen konnten. Wer wissen will, welche Daten die eigenen KI-Assistenten sammeln und wie sich das abstellen lässt, findet die passenden Schalter in unserer Übersicht zu den Speichereinstellungen. Wer Copilot im Arbeitsalltag aus dem Weg haben will, kann in Microsoft Teams Copilot und Facilitator gezielt abschalten.





