В начале июня Microsoft исправила уязвимость CVE‑2026‑42824, после чего Varonis раскрыла её эксплуатацию под названием SearchLeak. Уязвимость позволяла через специально сформированную ссылку Copilot Enterprise Search автоматически извлекать из корпоративных ресурсов (почта, SharePoint, OneDrive, календари) данные и передавать их внешнему серверу, обходя CSP через Bing. Атака комбинировала P2P‑инжект, гонку рендеринга HTML и SSRF, но сейчас проблема устранена и дополнительных действий от пользователей не требуется.
