Microsoft выпустила экстренное обновление .NET для исправления серьёзной ошибки

Microsoft, которая одновременно поддерживает несколько версий .NET, выпустила внеплановое обновление безопасности для последней из них. Такую меру приняли из-за серьёзной уязвимости безопасности.

Microsoft отмечает, что после выпуска обновления .NET 10.0.6 несколько клиентов сообщили о сбоях расшифровки в своих приложениях. В ходе расследования этой проблемы компания обнаружила и более серьёзную проблему.

Уязвимость получила идентификатор CVE-2026-40372 и уровень серьёзности 9.1. Она позволяет злоумышленнику использовать эксплойт повышения привилегий (EoP) путем подделки аутентификационных файлов cookie и расшифровки некоторых защищённых полезных нагрузок. Эта уязвимость присутствует в пакете NuGet Microsoft.AspNetCore.DataProtection, в котором «управляемый аутентифицированный шифровальщик может вычислить свой тег проверки HMAC по неправильным байтам полезной нагрузки, а затем отбросить вычисленный хеш, что может привести к повышению привилегий». 

Microsoft подчеркнула, что баг затрагивает все операционные системы, отличные от Windows, с .NET 10.0.6. Это касается также приложений или библиотек, которые ссылаются на Microsoft.AspNetCore.DataProtection версий 10.0.0–10.0.6 из NuGet; сборка использует ресурс целевой платформы net462 или netstandard2.0 этого пакета. 

Таким образом, уязвимы приложения, не ориентированные на net10.0 и использующие этот пакет (например, net8.0, net9.0, net481 для mono и т. д.). Приложения могут работать на Linux, macOS или любой другой операционной системе, кроме Windows.

Для устранения уязвимости безопасности Microsoft выпустила стандартное обновление .NET 10.0.7, которое также исправляет ошибку регрессии при расшифровке. Его потребуется загрузить, а затем запустить команду dotnet --info в