Microsoft veröffentlicht Notfall-Sicherheitsupdate
Microsoft hat Updates veröffentlicht, um eine Sicherheitslücke in "ASP.NET Core" zu schliessen. Das Unternehmen empfiehlt eine sofortige Aktualisierung der Sicherheitskomponente "ASP.NET Core Data Protection" auf Version 10.0.7 mit anschliessender Neuinstallation.
Microsoft hat ausserplanmässige Sicherheitsupdates veröffentlicht, um eine kritische Sicherheitslücke in "ASP.NET Core" zu schliessen. Diese ermöglicht eine Rechteausweitung, wie "Bleepingcomputer" berichtet.
Die Sicherheitslücke CVE-2026-40372 sei in kryptografischen Data-Protection-APIs von ASP.NET Core entdeckt worden. Sie könnte es nicht authentifizierten Angreifern ermöglichen, durch die Fälschung von Authentifizierungs-Cookies Zugriff auf Systemrechte betroffener Geräte zu erlangen, wie es im Bericht heisst.
Microsoft habe die Schwachstelle aufgrund von User-Berichten entdeckt. Diese hätten eine gescheiterte Entschlüsselung nach der Installation des Updates auf .NET 10.0.6 im Rahmen des aktuellen Patch Tuesday gemeldet.
"Ein Regressionsfehler in den NuGet-Paketen von Microsoft.AspNetCore.DataProtection 10.0.0-10.0.6 führt dazu, dass der verwaltete authentifizierte Encryptor seinen HMAC-Validierungstag über die falschen Bytes der Nutzlast berechnet und den berechneten Hash in einigen Fällen anschliessend verwirft", beschreibt Microsoft das Problem. Die fehlerhafte Validierung könne es einem Angreifer ermöglichen, Nutzdaten zu fälschen und auf diese Weise zuvor geschützte Nutzdaten in Authentifizierungs-Cookies, Anti-Fälschungs-Tokens, TempData, OIDC-Status und anderen zu entschlüsseln.
Wie "Bleepingcomputer" weiter schreibt, warnte Microsoft-Programmmanager Rahul Bhandari User von ASP.NET Core Data Protection, das Paket "Microsoft.AspNetCore.DataProtection" so schnell wie möglich auf Version 10.0.7 zu aktualisieren und eine anschliessende Neuinstallation durchzuführen. Diese Aktionen sollen die Validierungsroutine korrigieren und sicherstellen, dass gefälschte Nutzdaten automatisch zurückgewiesen werden.
Anthropic und OpenAI arbeiten an jeweils verschiedenen neuen KI-Modellen, die ausserordentliche Fähigkeiten zum Aufspüren von Sicherheitslücken versprechen. Lesen Sie hier mehr dazu.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Einladung zum Webinar: Wie Finanzunternehmen mit KI durchstarten
Die wirklich nützlichen Empfehlungen zum Alkoholkonsum
Axians: 360 Grad ICT
Parlament ebnet nationalem Informationssystem für Betreibungen den Weg
Adnovum ernennt neuen Head of Industry Insurance
"Der Anspruch an Standardsoftware steigt doppelt"
"Lokale Verankerung gewinnt an Bedeutung"
IBM FlashSystem 2026: Schneller Speicher mit KI-Immunsystem
"Die steigenden Anforderungen stärken die Rolle der lokalen RZ-Anbieter"
