Microsoft corrige une faille critique ASP.NET sur macOS/Linux
Original : Microsoft issues emergency update for macOS and Linux ASP.NET threat
Pourquoi c'est important
Menace critique pour la sécurité des applications web multiplateformes
Microsoft publie un correctif d'urgence pour CVE-2026-40372, une vulnérabilité critique d'ASP.NET Core permettant aux attaquants non authentifiés d'obtenir des privilèges SYSTEM sur macOS et Linux via la falsification de signatures.
La faille affecte les versions 10.0.0 à 10.0.6 du package Microsoft.AspNetCore.DataProtection et découle d'une vérification défaillante des signatures cryptographiques. Elle permet aux attaquants de forger des charges utiles d'authentification durant la validation HMAC. Microsoft avertit que même après la correction vers la version 10.0.7, les appareils peuvent rester compromis si les identifiants forgés ne sont pas purgés. La vulnérabilité, notée 9.1/10, affecte principalement les utilisateurs de macOS, Linux et autres OS non-Windows. Microsoft recommande la mise à jour immédiate vers la version 10.0.7.