Microsoft hat ein sogenanntes Out-of-Band-Security-Update für einen kritischen Bug in ASP.NET veröffentlicht. Wie "Bleeping Computer"
meldet, wurde der Bug mit der Kennung CVE-2026-40372 im Data Protection Cryptographic API gefunden. Der Fehler kann es einem möglichen Angreifer erlauben, über gefälschte Authentifizierungs-Cookies Systemprivilegien zu erlangen. Wie der Konzern in einem
Security Advisory weiter ausführt, soll die Schwachstelle es einem Angreifer auch ermöglichen, auf Dateien zuzugreifen und Daten zu ändern.
Entdeckt wurde der Bug, nachdem Anwender gemeldet hatten, dass die Entschlüsselungen bei ihren Anwendungen nach der Installation des .NET-10.0.6-Updates nicht mehr funktionierten. Das Update wurde im Rahmen der April-Patch-Veröffentlichung ausgeliefert.
Microsoft empfiehlt allen Betroffenen, die Komponente AspNetCore.DataProtection auf die Version 10.0.7 zu aktualisieren.
(rd)
