NET ver\u00f6ffentlicht. Es schlie\u00dft eine kritische L\u00fccke, mit der Angreifer Systemrechte erlangen k\u00f6nnten. Die Eilaktualisierung .NET 10.0.7 kommt nur acht Tage nach den regul\u00e4ren April-Patches \u2013 ein Zeichen f\u00fcr die Dringlichkeit der Bedrohung.<\/p>\n
Die Notfallkorrektur behebt die Schwachstelle CVE-2026-40372 mit einem Schweregrad von 9,1. Laut Microsoft wurde der Fehler versehentlich als Regression im Update .NET 10.0.6 vom 14. April eingef\u00fchrt. Die L\u00fccke kam ans Licht, nachdem Entwickler weit verbreitete Entschl\u00fcsselungsfehler in ihren Anwendungen meldeten.<\/p>\n
So gef\u00e4hrlich ist die Sicherheitsl\u00fccke<\/p>\n
Die kritische Schwachstelle steckt im Microsoft.AspNetCore.DataProtection-Paket. Die Regression f\u00fchrte dazu, dass der Authentifizierungsverschl\u00fcsseler seinen HMAC-Validierungstag \u00fcber falsche Teile der Nutzdaten berechnete. In manchen F\u00e4llen verwarf das System den berechneten Hash und validierte die Authentizit\u00e4t der Daten nicht korrekt.<\/p>\n
Diese L\u00fccke erm\u00f6glicht es Angreifern, Authentifizierungs-Cookies zu f\u00e4lschen und gesch\u00fctzte Nutzdaten zu entschl\u00fcsseln. Dazu geh\u00f6ren OpenID Connect-Zust\u00e4nde, TempData und Anti-F\u00e4lschungs-Tokens. Ein erfolgreicher Angriff k\u00f6nnte zur Identit\u00e4ts\u00fcbernahme privilegierter Benutzer und zu SYSTEM-Zugriff auf betroffene Ger\u00e4te f\u00fchren. Microsoft best\u00e4tigt Risiken f\u00fcr Vertraulichkeit und Integrit\u00e4t sensibler Daten.<\/p>\n
Besonders betroffen sind plattform\u00fcbergreifende Umgebungen. Alle Nicht-Windows-Systeme mit .NET 10.0.6 sind gef\u00e4hrdet. Auch Anwendungen sind anf\u00e4llig, wenn sie Versionen 10.0.0 bis 10.0.6 des Data Protection-Pakets nutzen und auf net462 oder netstandard2.0 abzielen. Diese Kombination tritt oft auf, wenn eine App ein \u00e4lteres Framework wie .NET 8.0 oder 9.0 nutzt, aber das aktualisierte Paket l\u00e4dt.<\/p>\n
Das m\u00fcssen Entwickler und Admins jetzt tun<\/p>\n
Die Behebung erfordert mehr als ein Server-Update. Entwicklungsteams m\u00fcssen ihre Projektabh\u00e4ngigkeiten manuell auf Version 10.0.7 aktualisieren und ihre Software neu bereitstellen. Nur so werden die Validierungsroutinen korrigiert und gef\u00e4lschte Nutzdaten automatisch abgewiesen.<\/p>\n
Microsoft warnt zudem vor der Persistenz gef\u00e4lschter Tokens. Hat ein Angreifer vor dem Patch als privilegierter Benutzer authentifiziert, k\u00f6nnte die App legitime Session-Refresh-Tokens oder API-Schl\u00fcssel ausgestellt haben. Diese bleiben auch nach dem Upgrade auf .NET 10.0.7 g\u00fcltig. Admins sollten daher ihre Data Protection-Key-Rings rotieren, um kompromittierte Sitzungen zu invalideren.<\/p>\n
Die Aktualisierung ist \u00fcber das offizielle Microsoft-Download-Portal und den NuGet-Katalog verf\u00fcgbar. Administratoren k\u00f6nnen die erfolgreiche Installation \u00fcberpr\u00fcfen, indem sie die .NET-Versionsnummer 10.0.7 pr\u00fcfen.<\/p>\n
Trend zu immer kritischeren Sicherheitsl\u00fccken<\/p>\n
Das Notfall-Update folgt dicht auf die regul\u00e4ren April-Patches vom 14. April. Diese beheben bereits mehrere andere .NET-Schwachstellen, darunter eine Remote-Code-Ausf\u00fchrung-L\u00fccke und mehrere Denial-of-Service-Fehler.<\/p>\n
Die H\u00e4ufung kritischer Probleme f\u00e4llt Analysten auf. Ein Bericht von BeyondTrust vom 21. April zeigt einen Wandel: W\u00e4hrend die Gesamtzahl gemeldeter Microsoft-Schwachstellen 2025 um 6 Prozent sank, verdoppelte sich fast die Zahl kritischer L\u00fccken \u2013 von 78 auf 157. Das deutet auf eine Konzentration von Risiken bei hochgef\u00e4hrlichen Schwachstellen hin.<\/p>\n
Anzeige<\/p>\n