CVE-2026-47644: Sikkerhedsfejl i Microsoft Copilot Chat
Fejl i Microsoft Copilot Chat i Edge kan lade angribere stjæle dine oplysninger via et ondsindet link.
Hvad er det?
En sikkerhedsfejl i Copilot Chat-funktionen i Microsoft Edge gør det muligt for en angriber at injicere (indsætte) skadelig kode i chatten. Fejlen opstår, fordi programmet ikke tjekker brugerinput og output grundigt nok, før det behandles videre. Det tekniske navn for fejltypen er ‘injection’ (CWE-74), hvilket betyder, at særlige tegn ikke filtreres fra korrekt. Resultatet er, at en angriber kan narre Copilot Chat til at sende dine oplysninger videre til en uautoriseret modtager — uden at du nødvendigvis opdager det.
Hvem rammer det?
Fejlen rammer alle der bruger Microsoft Copilot Chat i browseren Microsoft Edge. Det gælder både private brugere og medarbejdere i virksomheder, der bruger Edge som deres standardbrowser og arbejder med Copilot Chat i dagligdagen. Du behøver ikke have særlige rettigheder for at blive ramt — men du skal klikke på et ondsindet link eller besøge en kompromitteret side, for at angrebet kan gennemføres.
Hvad kan ske?
Hvis en angriber udnytter fejlen, kan vedkommende få adgang til oplysninger, du deler i Copilot Chat — det kan fx være forretningshemmeligheder, kundedata eller interne dokumenter. Angriberen kan ikke ændre dine data eller lamme din computer via denne fejl, men informationslækagen alene kan have alvorlige konsekvenser. En angriber skal dog lokke dig til at klikke på et link eller besøge et ondsindet websted, hvilket gøres via phishing-mails eller falske hjemmesider.
Hvor alvorligt er det?
Sårbarheden er vurderet til 6.5 ud af 10 (Moderat) på den internationale CVSS-skala. Det er ikke den mest kritiske type fejl, men den er heller ikke ubetydelig. Fortrolighed (C=HIGH) er den primære risiko — dine data kan afsløres. Til gengæld kræver angrebet, at du selv klikker på noget mistænkeligt (UI:R), og angriberen har ingen fordel af forudgående adgang til dit system. Det sænker risikoen lidt, men klik-baserede angreb er meget udbredt og velkendte i phishing-kampagner.
Hvad gør jeg nu?
Du bør handle inden for de næste par dage. Her er de konkrete trin:
- Opdatér Microsoft Edge: Åbn Edge, klik på de tre prikker øverst til højre, vælg ‘Hjælp og feedback’ og derefter ‘Om Microsoft Edge’. Edge vil automatisk søge efter og installere den nyeste version.
- Informér dine medarbejdere: Gør opmærksom på, at de ikke må klikke på ukendte links — særligt ikke i mails eller beskeder der omhandler Copilot eller AI-funktioner i Edge.
- Vær forsigtig med hvad du deler i Copilot Chat: Undgå midlertidigt at dele særligt følsomme oplysninger i Copilot Chat i Edge, indtil du har bekræftet, at din browser er opdateret.
- Aktivér automatiske opdateringer: Sørg for, at Edge opdaterer sig selv automatisk, så du ikke skal huske det manuelt næste gang.
Opdatér inden for 2-3 dage
Vi anbefaler, at du opdaterer Microsoft Edge hurtigst muligt på alle virksomhedens computere. Fejlen kræver brugerinteraktion for at virke, men phishing-angreb er en meget reel trussel mod SMV’er — og angribere er hurtige til at udnytte kendte svagheder. Hvis din virksomhed bruger Edge og Copilot Chat regelmæssigt, er det desuden en god idé at gennemgå, hvilke typer oplysninger medarbejdere deler i AI-chat-funktioner.
Tidslinje
Konkrete eksempler
Phishing-mail med ondsindet link
En medarbejder modtager en e-mail, der udgiver sig for at være fra en leverandør, med et link til et ‘dokument’. Klikker medarbejderen på linket i Edge med Copilot Chat åben, kan den injicerede kode i baggrunden sende oplysninger fra chatsessionen — fx kundedata eller interne instrukser — til angriberens server, uden at medarbejderen opdager noget.
Kompromitteret hjemmeside udnytter Copilot Chat
En medarbejder besøger en hjemmeside, der ser legitim ud, men som er blevet hacket af en tredjepart. Hjemmesiden indeholder skjult kode, der udnytter injection-fejlen i Copilot Chat. Hvis medarbejderen har en aktiv Copilot Chat-session i Edge, kan angriberen trække oplysninger ud af den — fx uddrag af dokumenter der er blevet diskuteret i chatten.
Ondsindet delt chat-prompt via samarbejdsplatform
En angriber deler en tilsyneladende harmløs Copilot-prompt (en instruks til AI-chatten) via Teams eller e-mail. Når modtageren bruger prompten i Copilot Chat i Edge, aktiveres den skjulte injection-kode, som videresender indholdet af chatsessionen — potentielt inklusiv interne forretningsoplysninger — til angriberen.
Ofte stillede spørgsmål
Skal jeg stoppe med at bruge Copilot Chat i Edge?
Ikke nødvendigvis. Du bør opdatere Edge til den nyeste version, og derefter er det sikkert at bruge Copilot Chat igen. Mens du venter på at opdatere, anbefaler vi, at du undgår at dele følsomme forretningsoplysninger i chatten.
Hvad er en injection-fejl?
En injection-fejl opstår, når et program ikke håndterer brugerinput korrekt og ender med at behandle skadelig kode som legitime kommandoer. I dette tilfælde kan en angriber indsætte særlige tegn eller kode i Copilot Chat, som derefter sender dine oplysninger videre til forkerte modtagere.
Hvordan ved jeg, om min Edge er opdateret?
Åbn Edge og klik på de tre vandrette prikker øverst til højre. Vælg ‘Hjælp og feedback’ og klik på ‘Om Microsoft Edge’. Her kan du se din nuværende version og om der er opdateringer tilgængelige. Edge opdaterer sig normalt automatisk, men det er god praksis at tjekke manuelt.
Er mine data allerede blevet stjålet?
Det er usandsynligt, medmindre du for nylig har klikket på et mistænkeligt link og haft Copilot Chat åben. Angrebet kræver, at du aktivt klikker på noget ondsindet. Hvis du er i tvivl, kan du kontakte din IT-ansvarlige eller os, og vi kan hjælpe med at gennemgå hændelseslogge.
Gælder dette kun for Edge — hvad med andre browsere?
Ja, denne specifikke fejl er knyttet til Copilot Chat-funktionen i Microsoft Edge. Andre browsere som Chrome eller Firefox er ikke berørt af netop denne sårbarhed, men de kan naturligvis have egne sikkerhedsfejl. Det ændrer ikke anbefalingen: hold alle dine programmer opdaterede.
Ramte produkter
Microsoft — Copilot Chat
–
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
Improper neutralization of special elements in output used by a downstream component (‘injection’) in Copilot Chat (Microsoft Edge) allows an unauthorized attacker to disclose information over a network.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
