Microsoft veröffentlicht Notfall-Sicherheitsupdate
Microsoft hat Updates veröffentlicht, um eine Sicherheitslücke in "ASP NET Core" zu schliessen. Das Unternehmen empfiehlt eine sofortige Aktualisierung der Sicherheitskomponente "ASP.NET Core Data Protection" auf Version 10.0.7 mit anschliessender Neuinstallation.
Microsoft hat ausserplanmässige Sicherheitsupdates veröffentlicht, um eine kritische Sicherheitslücke in "ASP.NET Core" zu schliessen. Diese ermöglicht eine Rechteausweitung, wie "Bleepingcomputer" berichtet.
Die Sicherheitslücke CVE-2026-40372 sei in kryptografischen Data-Protection-APIs von ASP.NET Core entdeckt worden. Sie könnte es nicht authentifizierten Angreifern ermöglichen, durch die Fälschung von Authentifizierungs-Cookies Zugriff auf Systemrechte betroffener Geräte zu erlangen, wie es im Bericht heisst.
Microsoft habe die Schwachstelle aufgrund von User-Berichten entdeckt. Diese hätten eine gescheiterte Entschlüsselung nach der Installation des Updates auf .NET 10.0.6 im Rahmen des aktuellen Patch Tuesday gemeldet.
"Ein Regressionsfehler in den NuGet-Paketen von Microsoft.AspNetCore.DataProtection 10.0.0-10.0.6 führt dazu, dass der verwaltete authentifizierte Encryptor seinen HMAC-Validierungstag über die falschen Bytes der Nutzlast berechnet und den berechneten Hash in einigen Fällen anschliessend verwirft", beschreibt Microsoft das Problem. Die fehlerhafte Validierung könne es einem Angreifer ermöglichen, Nutzdaten zu fälschen und auf diese Weise zuvor geschützte Nutzdaten in Authentifizierungs-Cookies, Anti-Fälschungs-Tokens, TempData, OIDC-Status und anderen zu entschlüsseln.
Wie "Bleepingcomputer" weiter schreibt, warnte Microsoft-Programmmanager Rahul Bhandari User von ASP.NET Core Data Protection, das Paket "Microsoft.AspNetCore.DataProtection" so schnell wie möglich auf Version 10.0.7 zu aktualisieren und eine anschliessende Neuinstallation durchzuführen. Diese Aktionen sollen die Validierungsroutine korrigieren und sicherstellen, dass gefälschte Nutzdaten automatisch zurückgewiesen werden.
Anthropic und OpenAI arbeiten an jeweils verschiedenen neuen KI-Modellen, die ausserordentliche Fähigkeiten zum Aufspüren von Sicherheitslücken versprechen. Lesen Sie hier mehr dazu.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Luzerner Datenschutz bearbeitet Rekordzahl an Fällen
Die Wikinger hätten Walter White als "Troll" bezeichnet
Cyberangriff legt Westschweizer Radiologie-Netzwerk erneut lahm
Einladung zum Webinar: Next-Gen Threat Hunting - wie KI Detection & Response transformiert
DoS-Lücke gefährdet Cisco-Orchestrierungssysteme
Bundesrat bessert beim Informationssicherheitsgesetz nach
Gandalf ist ein haariger Chaosstifter
Betrüger locken mit falscher Serafe-Rückerstattung
Auch meckernden Hackern geht AI Slop auf den Keks
