Microsoft Copilot: i siti web potrebbero impartire segretamente comandi all’IA

Microsoft ha risolto una vulnerabilità critica in Copilot in occasione del Patch Tuesday del 14 luglio. Identificata con il codice CVE-2026-48561, presenta un punteggio CVSS pari a 9,6 su 10, il che la colloca tra le vulnerabilità più gravi del mese. La vulnerabilità è stata segnalata da Ofek Levin della società di sicurezza Enclave.
È bastato un sito web
La via di attacco passava attraverso il browser. Secondo Microsoft, un malintenzionato avrebbe potuto ospitare un sito web dannoso in grado di indurre Microsoft Edge per Android a inviare richieste appositamente manipolate a Copilot sul dispositivo. Era sufficiente visitare la pagina.
Il vero problema risiedeva nel modo in cui tali richieste venivano gestite. Il componente interessato le accettava senza richiedere conferma e non ne verificava mai la provenienza, pertanto le richieste venivano elaborate all’insaputa dell’utente. Microsoft afferma che ciò potrebbe comportare azioni indesiderate in Copilot, quali la lettura o la modifica dei dati. La vulnerabilità è classificata come «iniezione di comandi».
Queste app sono elencate nell’avviso
Microsoft indica due prodotti interessati: Microsoft 365 Copilot per iOS e Microsoft 365 Copilot per Android. La descrizione dell’attacco, tuttavia, menziona solo Edge per Android. Microsoft non fornisce alcuna spiegazione in merito a tale discrepanza.
C’è un altro aspetto che salta all’occhio. I link agli aggiornamenti presenti nell’avviso non rimandano a un’app Copilot su nessuna delle due piattaforme. Rimandano invece a Microsoft Edge nell’App Store e su Google Play. Microsoft non indica mai un numero di build che contenga la correzione, e nemmeno le note di rilascio di Edge Mobile menzionano la vulnerabilità. L’ultima versione per Android e iOS, la 150.0.4078.65, è stata rilasciata il 13 luglio.
Cosa dovreste fare ora
Innanzitutto, la buona notizia. La vulnerabilità non era di dominio pubblico prima del Patch Tuesday e Microsoft afferma che non sia mai stata sfruttata. Non esiste alcun exploit funzionante e la stessa Microsoft valuta lo sfruttamento della vulnerabilità come poco probabile. Essa non figura nell’elenco della CISA relativo alle vulnerabilità note già sfruttate.
Poiché Microsoft non specifica una versione, la soluzione pratica è semplice: mantenga aggiornate l’app Copilot e Microsoft Edge sul proprio telefono, tramite il Play Store su Android o l’App Store su iOS. E se non utilizzate mai Copilot sul vostro telefono, è sufficiente eliminarlo.
Non è il primo caso di questo tipo
Gli attacchi che si insinuano tra gli utenti e i loro assistenti IA stanno diventando sempre più comuni. Alla fine di giugno sono stati individuati degli ad blocker camuffati in grado di erano in grado di leggere le chat con ChatGPT e Gemini. Se desiderate sapere quali dati su di voi vengono memorizzati dai vostri assistenti IA e come disattivare tale funzione, la nostra panoramica sulle impostazioni di archiviazione vi guiderà passo passo. E se preferite tenere Copilot fuori dalla vostra giornata lavorativa, potete disattivare Copilot e Facilitator in Microsoft Teams.
Fonte/i
I nostri Top 10
» Top 10 Portatili Multimedia
» Top 10 Portatili Gaming
» Top 10 Portatili Gaming Leggeri
» Top 10 Portatili da Ufficio e Business economici
» Top 10 Portatili Premium da Ufficio/Business
» Top 10 Portatili sotto i 300 Euro
» Top 10 Portatili sotto i 500 Euro
» Top 10 dei Portatili Workstation
» Top 10 Subnotebooks
» Top 10 Ultrabooks
» Top 10 Convertibili
» Top 10 Tablets
» Top 10 Tablets Windows
» Top 10 Smartphones






