Microsoft исправила критическую уязвимость ASP.Net, дававшую полный контроль над системой
После установки патча рекомендуется провести ротацию ключей.
Microsoft выпустила для платформы ASP.NET экстренное обновление, исправляющее критическую уязвимость CVE-2026-40372. С ее помощью злоумышленники могли без аутентификации получить привилегии системного уровня.
Уязвимость существовала в Microsoft.AspNetCore.DataProtection версий 10.0.0-10.0.6. Механизм HMAC, отвечающий за целостность данных, работал с ошибкой, и это позволяло подделывать данные аутентификации, обходя защиту.
В первую очередь под угрозой оказались приложения, работающие на Linux и macOS. Windows-системы не пострадали, поскольку по умолчанию применяют другие алгоритмы шифрования.
Примечательно, что последствия эксплуатации уязвимости могут сохраняться даже после установки патча. Как объясняют в Microsoft, атакующие могли успеть получить токены доступа, которые будут работать и в пропатченной системе.
После установки патча компания рекомендует провести ротацию ключей безопасности. Кроме того, следует проверить, не появились ли в системе признаки взлома.
Интересный момент: уязвимость была обнаружена в ходе исследования другой ошибки. После недавнего обновления разработчики столкнулись со сбоями при расшифровке данных; оказалось, система вычисляла HMAC по неверным данным и игнорировала результат проверки.
- СМИ: Microsoft уволила главу израильского подразделения после расследования о слежке за палестинцами
- СМИ: Microsoft заплатит сотрудникам за уход из компании
- Руины круга испытаний в Windrose: как пройти
- Датамайнер: ремейк Assassin’s Creed IV Black Flag будет стоить $60
- Microsoft планирует сократить зависимость от OpenAI
- Microsoft показала ИИ-ускоритель Maia 200 и сервера на его базе

