• Công ty TNHH Thương Mại Dịch Vụ Hợp Thành Thịnh

Tin tức

Lỗ hổng bảo mật nghiêm trọng trong Microsoft Copilot và cách tự bảo vệ

  • Thứ năm, 11:30 Ngày 16/07/2026 .
  • Microsoft vừa vá một lỗ hổng bảo mật nghiêm trọng cho phép các trang web độc hại điều khiển trợ lý AI Copilot trên thiết bị di động. Người dùng cần cập nhật ngay các ứng dụng liên quan để bảo vệ dữ liệu cá nhân trước nguy cơ bị tấn công tiêm lệnh.

    Hiểu về lỗ hổng bảo mật CVE-2026-48561 trên Microsoft Copilot

    Trong đợt cập nhật bảo mật định kỳ tháng 7, Microsoft đã công bố bản vá cho một lỗ hổng bảo mật nghiêm trọng được định danh là CVE-2026-48561. Với điểm số đánh giá CVSS 9.6/10, đây là một trong những mối đe dọa kỹ thuật đáng lưu ý nhất, được phát hiện bởi chuyên gia bảo mật Ofek Levin từ Enclave.

    Về cơ bản, đây là lỗi command injection (tiêm lệnh) cho phép kẻ tấn công thực thi các lệnh trái phép thông qua trình duyệt. Điều này biến trợ lý AI từ một công cụ hỗ trợ trở thành lỗ hổng để truy cập vào dữ liệu nhạy cảm của người dùng mà không cần sự cho phép hay xác nhận trực tiếp.

    Cơ chế tấn công nguy hiểm

    Phương thức khai thác lỗ hổng này khá tinh vi nhưng lại dễ dàng triển khai. Khi người dùng truy cập vào một trang web độc hại thông qua trình duyệt Microsoft Edge trên thiết bị Android, mã độc có thể âm thầm gửi các câu lệnh đã được lập trình sẵn đến ứng dụng Microsoft Copilot.

    Vì hệ thống tại thời điểm đó thiếu cơ chế xác thực nguồn gốc yêu cầu, Copilot sẽ tự động thực thi các lệnh này. Hậu quả là kẻ xấu có thể đọc hoặc thay đổi dữ liệu cá nhân, làm suy yếu nghiêm trọng quyền riêng tư của người dùng mà nạn nhân hoàn toàn không hay biết.

    Phạm vi ảnh hưởng và sự thiếu minh bạch trong thông tin

    Mặc dù Microsoft xác nhận lỗ hổng ảnh hưởng đến Microsoft 365 Copilot trên cả iOS và Android, nhưng các chi tiết kỹ thuật lại tập trung vào trình duyệt Edge. Sự thiếu hụt thông tin về phiên bản cụ thể bị ảnh hưởng khiến người dùng cảm thấy lo ngại.

    • Các liên kết cập nhật hiện đang trỏ về trình duyệt Edge thay vì ứng dụng Copilot chuyên dụng.
    • Ghi chú phát hành phiên bản 150.0.4078.65 của Edge Mobile không đề cập rõ ràng đến bản vá bảo mật này.
    • Người dùng cần chủ động kiểm tra cập nhật thủ công trên App Store và Google Play Store thay vì đợi thông báo tự động.

    Lời khuyên bảo mật cho người dùng trong kỷ nguyên AI

    Dù Microsoft khẳng định lỗ hổng chưa bị khai thác rộng rãi và khả năng tấn công thực tế là thấp, việc chủ động phòng ngừa là yếu tố then chốt để đảm bảo an toàn thông tin. Dưới đây là những bước bạn nên thực hiện ngay:

    1. Cập nhật phần mềm định kỳ

    Hãy truy cập ngay cửa hàng ứng dụng trên thiết bị của bạn để cập nhật phiên bản mới nhất cho cả Microsoft CopilotMicrosoft Edge. Việc duy trì phiên bản phần mềm mới nhất là lớp khiên bảo vệ đầu tiên chống lại các cuộc tấn công khai thác lỗ hổng đã biết.

    2. Kiểm soát quyền truy cập của AI

    Trợ lý AI là công cụ mạnh mẽ nhưng cũng tiềm ẩn rủi ro nếu quyền truy cập dữ liệu quá rộng. Nếu bạn không thường xuyên sử dụng tính năng AI trên điện thoại, hãy cân nhắc xóa ứng dụng để giảm thiểu bề mặt tấn công. Đồng thời, hãy hạn chế chia sẻ thông tin nhạy cảm (mật khẩu, tài khoản ngân hàng, dữ liệu công việc) trong các cuộc trò chuyện với AI.

    3. Nâng cao cảnh giác với các trang web lạ

    Trong kỷ nguyên AI, các cuộc tấn công xen kẽ giữa người dùng và trợ lý ảo (như các tiện ích mở rộng giả mạo) đang có xu hướng gia tăng. Hãy luôn cẩn trọng khi truy cập vào các liên kết lạ, ngay cả khi bạn đang sử dụng trình duyệt chính thống, vì bất kỳ lỗ hổng nào cũng có thể bị lợi dụng để thao túng trải nghiệm của bạn.

    Sản phẩm đang khuyến mãi

    Thiết bị ghi hình HDMI To USB TYPE-C AVermedia BU110

    Thiết bị ghi hình HDMI To USB TYPE-C AVermedia BU110

    3,300,000 đ 3,700,000 đ

    ID: NY-BU110
    THIẾT BỊ GHI HÌNH SDI - AVERMEDIA BU111

    THIẾT BỊ GHI HÌNH SDI - AVERMEDIA BU111

    5,700,000 đ 6,300,000 đ

    ID: BU111
    Mainboard ASUS WS X299 PRO

    Mainboard ASUS WS X299 PRO

    10,499,000 đ 11,023,950 đ

    ID: MAAS0208
    TỦ SẠC THÔNG MINH AVER E32C

    TỦ SẠC THÔNG MINH AVER E32C

    51,500,000 đ 55,000,000 đ

    ID: NY_AVER E32C
    Laptop HP Pavilion 15-cb540TX (4BN72PA)

    Laptop HP Pavilion 15-cb540TX (4BN72PA)

    20,690,000 đ 22,190,000 đ

    ID: 15-cb540TX
    TV Box FPT Play Box+ T550

    TV Box FPT Play Box+ T550

    1,500,000 đ 1,690,000 đ

    ID: NY-T550
    Bút cảm ứng Apple Pencil 2 MU8F2

    Bút cảm ứng Apple Pencil 2 MU8F2

    3,490,000 đ 3,890,000 đ

    ID: NY-MU8F2
    ATEM MINI

    ATEM MINI

    7,844,000 đ 8,715,000 đ

    ID: NY-ATEM MINI
    Bàn phím + Chuột Logitech MK200

    Bàn phím + Chuột Logitech MK200

    329,000 đ 450,000 đ

    ID: MK200
    Tai nghe nhét tai Earpods Apple MNHF2

    Tai nghe nhét tai Earpods Apple MNHF2

    711,000 đ 790,000 đ

    ID: NY-MNHF2
    Máy Quay GoPro HERO 7 Black (CHDHX-701-RW)

    Máy Quay GoPro HERO 7 Black (CHDHX-701-RW)

    9,890,000 đ 11,890,000 đ

    ID: NY-CHDHX-701-RW
    zalo

    Thông số kĩ thuật

    Chi tiết sản phẩm

    Hiểu về lỗ hổng bảo mật CVE-2026-48561 trên Microsoft Copilot

    Trong đợt cập nhật bảo mật định kỳ tháng 7, Microsoft đã công bố bản vá cho một lỗ hổng bảo mật nghiêm trọng được định danh là CVE-2026-48561. Với điểm số đánh giá CVSS 9.6/10, đây là một trong những mối đe dọa kỹ thuật đáng lưu ý nhất, được phát hiện bởi chuyên gia bảo mật Ofek Levin từ Enclave.

    Về cơ bản, đây là lỗi command injection (tiêm lệnh) cho phép kẻ tấn công thực thi các lệnh trái phép thông qua trình duyệt. Điều này biến trợ lý AI từ một công cụ hỗ trợ trở thành lỗ hổng để truy cập vào dữ liệu nhạy cảm của người dùng mà không cần sự cho phép hay xác nhận trực tiếp.

    Cơ chế tấn công nguy hiểm

    Phương thức khai thác lỗ hổng này khá tinh vi nhưng lại dễ dàng triển khai. Khi người dùng truy cập vào một trang web độc hại thông qua trình duyệt Microsoft Edge trên thiết bị Android, mã độc có thể âm thầm gửi các câu lệnh đã được lập trình sẵn đến ứng dụng Microsoft Copilot.

    Vì hệ thống tại thời điểm đó thiếu cơ chế xác thực nguồn gốc yêu cầu, Copilot sẽ tự động thực thi các lệnh này. Hậu quả là kẻ xấu có thể đọc hoặc thay đổi dữ liệu cá nhân, làm suy yếu nghiêm trọng quyền riêng tư của người dùng mà nạn nhân hoàn toàn không hay biết.

    Phạm vi ảnh hưởng và sự thiếu minh bạch trong thông tin

    Mặc dù Microsoft xác nhận lỗ hổng ảnh hưởng đến Microsoft 365 Copilot trên cả iOS và Android, nhưng các chi tiết kỹ thuật lại tập trung vào trình duyệt Edge. Sự thiếu hụt thông tin về phiên bản cụ thể bị ảnh hưởng khiến người dùng cảm thấy lo ngại.

    • Các liên kết cập nhật hiện đang trỏ về trình duyệt Edge thay vì ứng dụng Copilot chuyên dụng.
    • Ghi chú phát hành phiên bản 150.0.4078.65 của Edge Mobile không đề cập rõ ràng đến bản vá bảo mật này.
    • Người dùng cần chủ động kiểm tra cập nhật thủ công trên App Store và Google Play Store thay vì đợi thông báo tự động.

    Lời khuyên bảo mật cho người dùng trong kỷ nguyên AI

    Dù Microsoft khẳng định lỗ hổng chưa bị khai thác rộng rãi và khả năng tấn công thực tế là thấp, việc chủ động phòng ngừa là yếu tố then chốt để đảm bảo an toàn thông tin. Dưới đây là những bước bạn nên thực hiện ngay:

    1. Cập nhật phần mềm định kỳ

    Hãy truy cập ngay cửa hàng ứng dụng trên thiết bị của bạn để cập nhật phiên bản mới nhất cho cả Microsoft CopilotMicrosoft Edge. Việc duy trì phiên bản phần mềm mới nhất là lớp khiên bảo vệ đầu tiên chống lại các cuộc tấn công khai thác lỗ hổng đã biết.

    2. Kiểm soát quyền truy cập của AI

    Trợ lý AI là công cụ mạnh mẽ nhưng cũng tiềm ẩn rủi ro nếu quyền truy cập dữ liệu quá rộng. Nếu bạn không thường xuyên sử dụng tính năng AI trên điện thoại, hãy cân nhắc xóa ứng dụng để giảm thiểu bề mặt tấn công. Đồng thời, hãy hạn chế chia sẻ thông tin nhạy cảm (mật khẩu, tài khoản ngân hàng, dữ liệu công việc) trong các cuộc trò chuyện với AI.

    3. Nâng cao cảnh giác với các trang web lạ

    Trong kỷ nguyên AI, các cuộc tấn công xen kẽ giữa người dùng và trợ lý ảo (như các tiện ích mở rộng giả mạo) đang có xu hướng gia tăng. Hãy luôn cẩn trọng khi truy cập vào các liên kết lạ, ngay cả khi bạn đang sử dụng trình duyệt chính thống, vì bất kỳ lỗ hổng nào cũng có thể bị lợi dụng để thao túng trải nghiệm của bạn.