Microsoft срочно выпустила внеплановое (out-of-band) обновление для платформы .NET, выкатив версию 10.0.7. Этот релиз необходим для закрытия критической уязвимости с высоким рейтингом (Severity 9.1), которая позволяет злоумышленникам использовать эксплойт повышения привилегий (EoP) и получить несанкционированный доступ к данным.
Платформа .NET является ядром для бесчисленного количества приложений, работающих на Windows и других операционных системах. Поддержка множества версий .NET и призывы Microsoft к администраторам не использовать устаревшие сборки жизненно важны для снижения рисков всей цепочки поставок ПО.
Как работает угроза
Уязвимость, обозначенная как CVE-2026-40372, обнаружила Microsoft в пакете Microsoft.AspNetCore.DataProtection. Суть проблемы заключается в том, что управляемый аутентификационный шифратор может вычислить метку проверки целостности (HMAC validation tag) не по тем байтам полезной нагрузки, а затем отклонить рассчитанный хеш. Это позволяет атакующему подменить или манипулировать данными, тем самым выполняя EoP и потенциально получая права уровня SYSTEM.
Обнаружена двойная проблема
Помимо серьезной угрозы безопасности, Microsoft обнаружила, что после недавнего релиза патча 10.0.6, некоторые клиенты сообщали о сбоях дешифрования в своих приложениях. Проверка этой регрессии привела к обнаружению более масштабной уязвимости, требующей немедленного исправления.
Кому необходимо обновиться?
Microsoft особо подчеркивает, что наиболее подвержены риску все системы, работающие на не-Windows операционных системах. Однако поражение касается и других конфигураций, если выполняются следующие условия:
- Приложение или библиотека ссылается на версию
Microsoft.AspNetCore.DataProtectionот 10.0.0 до 10.0.6 через NuGet. - Сборка приложения использует целевую фреймворковую платформу
net462илиnetstandard2.0от этого пакета. (Это часто происходит, когда приложение не нацелено наnet10.0, но потребляет пакет 10.0). - Приложение запущено на Linux, macOS или другой не-Windows ОС.
Решение: .NET 10.0.7
Для устранения данной лазейки Microsoft выпустила экстренное обновление .NET 10.0.7. Это патч не только закрывает дыру CVE-2026-40372, но и одновременно решает проблему регрессии с дешифрованием, замеченную после выхода версии 10.0.6.
Администраторам и разработчикам рекомендуется незамедлительно загрузить и установить .NET 10.0.7. После установки следует выполнить команду dotnet --info в командной строке, чтобы подтвердить наличие последней версии. Далее необходимо пересобрать и повторно развернуть зависимое программное обеспечение, используя этот обновленный пакет.
Учитывая, что успешный эксплойт позволяет злоумышленнику получить системные привилегии, Microsoft настоятельно рекомендует считать установку .NET 10.0.7 наивысшим приоритетом.
