Microsoft выпустила экстренное апдейт .NET для исправления серьёзной ошибки

Microsoft, которая одновременно поддерживает некоторое количество версий .NET, выпустила внеплановое обновление безопасности для последней из них. Такую меру приняли из-за серьёзной уязвимости безопасности.

Microsoft отмечает, что после выпуска обновления .NET 10.0.6 несколько клиентов сообщили о сбоях расшифровки в своих приложениях. В процессе расследования этой проблемы организация обнаружила и более серьёзную проблему.

Уязвимость получила идентификатор CVE-2026-40372 и уровень серьёзности 9.1. Она позволяет злоумышленнику применять эксплойт повышения привилегий (EoP) путем подделки аутентификационных файлов cookie и расшифровки некоторых защищённых полезных нагрузок. Эта уязвимость присутствует в пакете NuGet Microsoft.AspNetCore.DataProtection, в котором «управляемый аутентифицированный шифровальщик может вычислить свой тег проверки HMAC по неправильным байтам полезной нагрузки, а затем отбросить вычисленный хеш, что может привести к повышению привилегий». 

Microsoft подчеркнула, что дефект затрагивает все операционные системы, отличные от Windows, с .NET 10.0.6. Это касается равным образом приложений или библиотек, которые ссылаются на Microsoft.AspNetCore.DataProtection версий 10.0.0–10.0.6 из NuGet; сборка использует источник целевой платформы net462 или netstandard2.0 этого пакета. 

Итак, уязвимы приложения, не ориентированные на net10.0 и использующие этот пакет (например, net8.0, net9.0, net481 для mono и т. д.). Приложения могут функционировать на Linux, macOS или любой иной операционной системе, кроме Windows.

Для устранения уязвимости безопасности Microsoft выпустила стандартное обновление .NET 10.0.7, которое равным образом исправляет ошибку регрессии при расшифровке. Его потребуется загрузить, а затем запустить команду dotnet --info в командной строке, чтобы убедиться, что установлена ​​последняя релиз. После этого нужно пересобрать и повторно развернуть зависимое программное обеспечение, используя обновлённый пакет.

В Microsoft заявили, что злоумышленник, успешно использовавший эту уязвимость, может получить системные привилегии, позволяющие ему ознакомиться файлы и изменять данные.

Ранее Microsoft объявила об удалении дополнительного компонента Windows .NET Framework 3.5 в Windows 11. Он требовался для работы устаревших приложений.