Экстренный патч от Microsoft
Компания Microsoft выпустила срочное обновление для ASP.NET Core, устраняя критическую уязвимость, которая позволяет неавторизованным злоумышленникам получать права SYSTEM на устройствах с macOS и Linux.
Что за уязвимость?
Уязвимость, получившая идентификатор CVE-2026-40372, затрагивает пакет Microsoft.AspNetCore.DataProtection версии 10.0.0–10.0.6. Проблема связана с некорректной проверкой криптографических подписей, что позволяет злоумышленникам подделывать данные аутентификации во время HMAC-проверки.
Этот механизм используется для подтверждения целостности и подлинности данных, передаваемых между клиентом и сервером. В результате эксплуатации уязвимости атакующие могут получить полный контроль над системой без необходимости в авторизации.
Последствия для пользователей
Даже после установки патча устройства могут оставаться уязвимыми, если ранее были скомпрометированы учётные данные, созданные злоумышленниками. Это означает, что пользователи должны не только обновить ПО, но и проверить системы на наличие следов вторжения.
Рекомендации от Microsoft
- Немедленно обновите ASP.NET Core до последней версии.
- Проверьте журналы аутентификации на наличие подозрительной активности.
- Пересмотрите и обновите все ранее скомпрометированные учётные данные.
Вывод
Экстренный патч Microsoft подчеркивает важность своевременного обновления ПО. Уязвимость CVE-2026-40372 представляет серьёзную угрозу для разработчиков и пользователей, работающих с ASP.NET Core на macOS и Linux. Следуйте рекомендациям компании, чтобы минимизировать риски.
Похожие статьи
Microsoft переименовал Xbox в XBOX: что изменится для геймеров
Xbox just allcapsmaxxed: meet XBOX. This isn't a joke, Microsoft appears to be actually rebranding Xbox to XBOX. Asha Sharma, Xbox CEO, ran a poll on...
Windows 11: новая функция — настраиваемая панель задач и изменяемое меню Пуск
Microsoft's latest Windows 11 test will allow you to reposition the taskbar and change the size of the Start menu. The update, which is rolling out to...
OpenAI разрешит ChatGPT подключаться к банковским счетам пользователей
ChatGPT will even know how much credit card debt you have. | Image: OpenAI Your trust in AI is about to be put to the test: OpenAI will soon let you g...
Хакеры-близнецы забыли отключить запись в Teams и сами себя выдали
Perhaps you remember Muneeb and Sohaib Akhter, the 34-year-old twin brothers we profiled earlier this week. Although they had the tech chops to commit...
Случайно опубликованы фото нового геймпада Xbox Elite 3: что известно
Hours after a smaller Xbox Cloud Gaming controller appeared online, Brazil's Anatel regulator has also accidentally published images of what appears t...
OpenAI интегрировала Codex в мобильное приложение ChatGPT
OpenAI is going to let users access Codex, its desktop AI tool that can write code and use apps on your computer, from the ChatGPT app on your phone....
Microsoft сворачивает доступ к AI-инструменту Claude Code
Microsoft first started opening up access to Claude Code in December, inviting thousands of its own developers to use Anthropic's AI coding tool daily...
В США Linux-разработчики против закона об ограничении доступа к интернету по возрасту
In January, Colorado lawmakers introduced a proposal to make operating systems collect users' ages and pass them to app developers. The bill, SB26-051...