Akut säkerhetsuppdatering från Microsoft
Microsoft har släppt en akut säkerhetsuppdatering för sitt ramverk ASP.NET Core för att åtgärda en allvarlig sårbarhet som kan leda till fullständig systemkompromettering på Linux- och macOS-enheter. Uppdateringen släpptes under tisdagskvällen och riktar sig mot versioner 10.0.0 till 10.0.6 av paketet Microsoft.AspNetCore.DataProtection NuGet, som ingår i ramverket.
Sårbarheten och dess risker
Den kritiska bristen, spårad som CVE-2026-40372, härrör från en felaktig verifiering av kryptografiska signaturer. Genom att utnyttja felet kan obehöriga angripare förfalska autentiseringsuppgifter under HMAC-valideringsprocessen. Denna process används för att säkerställa integritet och autenticitet i datautbytet mellan klient och server.
Om enheterna har använt en sårbar version av paketet kan angripare redan ha skaffat sig SYSTEM-behörigheter och därmed full kontroll över systemet. Även efter att sårbarheten har åtgärdats kan enheterna fortfarande vara komprometterade om autentiseringsuppgifter skapade av hotaktörer inte rensas bort.
Rekommenderade åtgärder
Microsoft uppmanar alla användare att omedelbart installera den senaste uppdateringen för att minimera risken för angrepp. Följande åtgärder rekommenderas:
- Uppdatera omedelbart: Installera den senaste versionen av Microsoft.AspNetCore.DataProtection NuGet via NuGet Package Manager eller motsvarande verktyg.
- Rensa tidigare autentiseringsuppgifter: Kontrollera och rensa eventuella autentiseringsuppgifter som kan ha skapats av obehöriga under tiden den sårbara versionen var aktiv.
- Övervaka systemaktivitet: Granska systemloggar för misstänkt aktivitet och vidta ytterligare säkerhetsåtgärder vid behov.
Bakgrund och sammanhang
ASP.NET Core är ett populärt ramverk för webbutveckling som stöder flera plattformar, inklusive Linux och macOS. Sårbarheten belyser vikten av att snabbt åtgärda kritiska säkerhetsbrister, särskilt när de kan leda till fullständig systemkompromettering. Microsoft har tidigare släppt liknande akuta uppdateringar för att skydda användare mot allvarliga hot.
Viktigt: Denna sårbarhet är av hög allvarlighetsgrad och bör prioriteras av alla utvecklare och systemadministratörer som använder ASP.NET Core. Ignorera inte uppdateringen, då risken för allvarliga konsekvenser är överhängande.
Relaterade artiklar
Tvillinghackare glömde avsluta Teams-inspelning – avslöjade sina egna brott
Perhaps you remember Muneeb and Sohaib Akhter, the 34-year-old twin brothers we profiled earlier this week. Although they had the tech chops to commit...
Läckta bilder avslöjar Xbox Elite 3-kontrollerns design
Hours after a smaller Xbox Cloud Gaming controller appeared online, Brazil's Anatel regulator has also accidentally published images of what appears t...
OpenAI släpper Codex i ChatGPT-appen för mobil – kan nu skriva kod direkt i telefonen
OpenAI is going to let users access Codex, its desktop AI tool that can write code and use apps on your computer, from the ChatGPT app on your phone....
Microsoft drar tillbaka licenser för AI-kodningsverktyget Claude Code
Microsoft first started opening up access to Claude Code in December, inviting thousands of its own developers to use Anthropic's AI coding tool daily...
Linux-utvecklare motsätter sig ny lag om ålderskontroll på internet
In January, Colorado lawmakers introduced a proposal to make operating systems collect users' ages and pass them to app developers. The bill, SB26-051...
Ny Microsoft-hårdvara för Xbox Cloud Gaming upptäckt – kompakt och effektiv
It reportedly uses Wi-Fi to directly connect to the Xbox Cloud Gaming service, for lower latency.
Ny säkerhetsbrist i Windows 11: BitLocker-skydd kan kringgås med fysisk åtkomst
A zero-day exploit circulating online allows people with physical access to a Windows 11 system to bypass default BitLocker protections and gain compl...
Säkerhetsintrång i ChatGPT:s Mac-app – ingen användardata läckt
OpenAI found no evidence that user data was accessed.