Microsoft veröffentlicht Notfall-Sicherheitsupdate
Microsoft hat Updates veröffentlicht, um eine Sicherheitslücke in "ASP.NET Core" zu schliessen. Das Unternehmen empfiehlt eine sofortige Aktualisierung der Sicherheitskomponente "ASP.NET Core Data Protection" auf Version 10.0.7 mit anschliessender Neuinstallation.
Microsoft hat ausserplanmässige Sicherheitsupdates veröffentlicht, um eine kritische Sicherheitslücke in "ASP.NET Core" zu schliessen. Diese ermöglicht eine Rechteausweitung, wie "Bleepingcomputer" berichtet.
Die Sicherheitslücke CVE-2026-40372 sei in kryptografischen Data-Protection-APIs von ASP.NET Core entdeckt worden. Sie könnte es nicht authentifizierten Angreifern ermöglichen, durch die Fälschung von Authentifizierungs-Cookies Zugriff auf Systemrechte betroffener Geräte zu erlangen, wie es im Bericht heisst.
Microsoft habe die Schwachstelle aufgrund von User-Berichten entdeckt. Diese hätten eine gescheiterte Entschlüsselung nach der Installation des Updates auf .NET 10.0.6 im Rahmen des aktuellen Patch Tuesday gemeldet.
"Ein Regressionsfehler in den NuGet-Paketen von Microsoft.AspNetCore.DataProtection 10.0.0-10.0.6 führt dazu, dass der verwaltete authentifizierte Encryptor seinen HMAC-Validierungstag über die falschen Bytes der Nutzlast berechnet und den berechneten Hash in einigen Fällen anschliessend verwirft", beschreibt Microsoft das Problem. Die fehlerhafte Validierung könne es einem Angreifer ermöglichen, Nutzdaten zu fälschen und auf diese Weise zuvor geschützte Nutzdaten in Authentifizierungs-Cookies, Anti-Fälschungs-Tokens, TempData, OIDC-Status und anderen zu entschlüsseln.
Wie "Bleepingcomputer" weiter schreibt, warnte Microsoft-Programmmanager Rahul Bhandari User von ASP.NET Core Data Protection, das Paket "Microsoft.AspNetCore.DataProtection" so schnell wie möglich auf Version 10.0.7 zu aktualisieren und eine anschliessende Neuinstallation durchzuführen. Diese Aktionen sollen die Validierungsroutine korrigieren und sicherstellen, dass gefälschte Nutzdaten automatisch zurückgewiesen werden.
Anthropic und OpenAI arbeiten an jeweils verschiedenen neuen KI-Modellen, die ausserordentliche Fähigkeiten zum Aufspüren von Sicherheitslücken versprechen. Lesen Sie hier mehr dazu.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Microsoft veröffentlicht Notfall-Sicherheitsupdate
KI-Agenten gefährden die Unternehmenssicherheit
Wenn selbst Ukulelisten zum Protest aufrufen, läuft etwas schief
Cisco erweitert Angebot für souveräne Infrastrukturen in Europa
Ontinue ernennt neuen CEO
Meta trackt Maus- und Tastaturaktionen seiner US-Mitarbeitenden
Unbefugte verschaffen sich Zugriff auf Claude Mythos
Back on-prem: Die Renaissance hybrider Sicherheitsarchitekturen
Schwachstelle bedroht Geräte mit Qualcomm-Snapdragon-Pozessoren
