Kritisk sårbarhet i ASP.NET Core oppdaget
Microsoft har utstedt en akuttoppdatering for ASP.NET Core etter at en kritisk sårbarhet ble oppdaget. Feilen, sporet som CVE-2026-40372, påvirker versjoner 10.0.0 til 10.0.6 av Microsoft.AspNetCore.DataProtection NuGet – en nøkkelpakke i rammeverket.
Hvordan sårbarheten utnyttes
Sårbarheten skyldes feilaktig verifisering av kryptografiske signaturer. Angripere kan utnytte svakheten til å forfalske autentiseringsbelastninger under HMAC-verifiseringen, som brukes for å sikre integriteten og autentisiteten til datautveksling mellom klient og server.
Ved vellykket utnyttelse kan uautentiserte angripere skaffe seg SYSTEM-rettigheter på berørte maskiner. Dette gir full kontroll over det underliggende systemet, inkludert muligheten til å installere skadelig programvare, stjele data eller utføre andre skadelige handlinger.
Risikoen vedvarer etter oppdatering
Selv om Microsoft har utstedt en oppdatering, advarer selskapet om at forfalskede legitimasjonsbevis opprettet av angripere kan overleve oppdateringen. Dette betyr at systemer som tidligere har vært sårbare, fortsatt kan være kompromitterte hvis de ikke renses for uvedkommende autentiseringsnøkler.
Microsoft anbefaler derfor at alle berørte brukere:
- Installerer oppdateringen umiddelbart
- Gjennomgår systemene for mistenkelig aktivitet
- Purges eventuelle forfalskede autentiseringsnøkler
Hvem er berørt?
Sårbarheten påvirker utviklere og bedrifter som bruker ASP.NET Core til å bygge og kjøre applikasjoner på Linux og macOS. Dette inkluderer både lokale utviklingsmiljøer og produksjonsmiljøer.
«Vi oppfordrer alle brukere til å oppdatere umiddelbart for å redusere risikoen for kompromittering. Hvis du har mistanke om at systemet ditt allerede er berørt, bør du gjennomføre en grundig sikkerhetsgjennomgang,» sier Microsoft.
Hva bør du gjøre nå?
For å beskytte systemene dine mot denne kritiske sårbarheten, bør du:
- Installere den nyeste oppdateringen fra Microsoft umiddelbart.
- Sjekke logger for mistenkelig aktivitet, spesielt knyttet til autentiseringsforsøk.
- Oppdatere alle avhengigheter i prosjektet ditt for å sikre at ingen andre sårbarheter eksisterer.
- Kontakte IT-avdelingen hvis du er usikker på om systemene dine er berørt.
Relaterte artikler
Fired IT-ansatte slettet 96 amerikanske databaser – opptaket avslørte dem
Perhaps you remember Muneeb and Sohaib Akhter, the 34-year-old twin brothers we profiled earlier this week. Although they had the tech chops to commit...
Nye bilder lekker: Xbox Elite 3-kontroller avduket
Hours after a smaller Xbox Cloud Gaming controller appeared online, Brazil's Anatel regulator has also accidentally published images of what appears t...
OpenAI integrerer Codex i ChatGPT-appen for mobil
OpenAI is going to let users access Codex, its desktop AI tool that can write code and use apps on your computer, from the ChatGPT app on your phone....
Microsoft trekker tilbake lisenser for AI-verktøyet Claude Code
Microsoft first started opening up access to Claude Code in December, inviting thousands of its own developers to use Anthropic's AI coding tool daily...
Linux-utviklere mot alderskontrollert internett: Ny lovgivning truer å ramme åpen programvare
In January, Colorado lawmakers introduced a proposal to make operating systems collect users' ages and pass them to app developers. The bill, SB26-051...
Ny Microsoft-kontroller for Xbox Cloud Gaming oppdaget – trådløs og kompakt
It reportedly uses Wi-Fi to directly connect to the Xbox Cloud Gaming service, for lower latency.
Ny sårbarhet i Windows 11 lar uvedkommende omgå BitLocker-kryptering på sekunder
A zero-day exploit circulating online allows people with physical access to a Windows 11 system to bypass default BitLocker protections and gain compl...
Sikkerhetsbrudd i ChatGPTs Mac-app: Ingen data lekket
OpenAI found no evidence that user data was accessed.