עדכון דחוף למיקרוסופט ASP.NET Core: חולשה קריטית מאפשרת השתלטות מלאה
מיקרוסופט פרסמה עדכון דחוף לתיקון חולשה קריטית ב-ASP.NET Core, המספקת לתוקפים לא מאומתים גישה להרשאות מערכת מלאות במכשירים הפועלים על macOS או לינוקס באמצעות מסגרת הפיתוח לאפליקציות אינטרנט.
החולשה, שזוהתה כ-CVE-2026-40372, משפיעה על גרסאות 10.0.0 עד 10.0.6 של החבילה Microsoft.AspNetCore.DataProtection, שהיא חלק ממסגרת הפיתוח. החולשה נובעת מבעיה באימות חתימות קריפטוגרפיות, המאפשרת לתוקפים לבצע זיוף מטעני אימות במהלך תהליך האימות ב-HMAC.
תהליך זה משמש לאימות שלמות ואותנטיות של הנתונים המוחלפים בין לקוח לשרת. ניצול החולשה מאפשר לתוקפים להשיג גישה להרשאות מערכת רגישות, מה שמאפשר השתלטות מלאה על המכשיר הנפגע.
הסיכון: גם לאחר עדכון המכשירים עשויים להיות חשופים
חשוב לציין כי גם לאחר התקנת העדכון, מכשירים שנפגעו מהחולשה לפני הפתרון עשויים להישאר חשופים אם מטעני האימות שנוצרו על ידי התוקף אינם נמחקים. מיקרוסופט ממליצה למשתמשים לנקות באופן ידני כל מטען אימות חשוד שנוצר במהלך התקופה שבה המכשיר היה פגיע.
מי נפגע?
החולשה משפיעה על מפתחים ומשתמשים המפעילים יישומי אינטרנט באמצעות ASP.NET Core על מערכות macOS או לינוקס. מיקרוסופט הדגישה כי אין להשפעה על מערכות Windows.
כיצד להתגונן?
- התקן את העדכון באופן מיידי – עדכון לגרסה האחרונה של החבילה Microsoft.AspNetCore.DataProtection.
- נקה מטעני אימות חשודים – בדוק וודא שלא נותרו מטעני אימות שנוצרו על ידי תוקפים במהלך התקופה הפגיעה.
- עקוב אחר פעילות חשודה – בדוק את יומני המערכת לאיתור פעילות חשודה או ניסיונות חדירה.
- הגבל גישה מרחוק – הגבל גישה מרחוק למערכות קריטיות עד להשלמת תהליך ההגנה.
תגובת מיקרוסופט
מיקרוסופט מסרה כי היא עובדת בשיתוף פעולה הדוק עם קהילת האבטחה כדי למזער את הסיכונים הנובעים מחולשה זו. החברה הדגישה את חשיבות העדכון המהיר ואת הצורך בניטור מתמיד של מערכות חשופות.
"אנו ממליצים לכל המשתמשים להתקין את העדכון באופן מיידי ולנקות כל מטען אימות חשוד שנוצר במהלך התקופה הפגיעה. פעולה זו תסייע במניעת השתלטות נוספת על המערכות."
סיכום
החולשה הקריטית ב-ASP.NET Core מהווה איום משמעותי על מפתחים ומשתמשים במערכות macOS ולינוקס. מיקרוסופט פרסמה עדכון דחוף לתיקון החולשה, אך הדגישה את הצורך בפעולות נוספות כדי להבטיח את שלמות המערכות. עדכון מיידי וניקוי מטעני אימות הם הצעדים החיוניים להגנה מפני איומים אלו.
כתבות קשורות
מיקרוסופט משנה את שם המותג Xbox ל-XBOX בעקבות הצבעה בקרב מעריצים
Xbox just allcapsmaxxed: meet XBOX. This isn't a joke, Microsoft appears to be actually rebranding Xbox to XBOX. Asha Sharma, Xbox CEO, ran a poll on...
חלונות 11 מקבלת עדכון ניסיוני: שורת המשימות והגדרות התפריט התחל ניתנות לשינוי
Microsoft's latest Windows 11 test will allow you to reposition the taskbar and change the size of the Start menu. The update, which is rolling out to...
OpenAI מאפשרת לצ'אטGPT גישה לחשבונות הבנק שלכם – מה זה אומר למשתמשים?
ChatGPT will even know how much credit card debt you have. | Image: OpenAI Your trust in AI is about to be put to the test: OpenAI will soon let you g...
תאומי ההאקרים שפוטרו שכחו לסיים הקלטה בווטסאפ והפלילו את עצמם
Perhaps you remember Muneeb and Sohaib Akhter, the 34-year-old twin brothers we profiled earlier this week. Although they had the tech chops to commit...
תמונות דלפו: בקר Xbox Elite 3 החדש נחשף בטעות על ידי הרגולטור הברזילאי
Hours after a smaller Xbox Cloud Gaming controller appeared online, Brazil's Anatel regulator has also accidentally published images of what appears t...
OpenAI מציגה את Codex בתוך אפליקציית ChatGPT לטלפון – מה זה אומר למשתמשים?
OpenAI is going to let users access Codex, its desktop AI tool that can write code and use apps on your computer, from the ChatGPT app on your phone....
מיקרוסופט מצמצמת רישיונות Claude Code לטובת Copilot CLI
Microsoft first started opening up access to Claude Code in December, inviting thousands of its own developers to use Anthropic's AI coding tool daily...
מפתחי לינוקס נגד חוק חדש שיגביל גישה לאינטרנט על פי גיל
In January, Colorado lawmakers introduced a proposal to make operating systems collect users' ages and pass them to app developers. The bill, SB26-051...