Microsoft ASP.NET脆弱性でmacOS/Linux緊急更新
मूल शीर्षक: Microsoft issues emergency update for macOS and Linux ASP.NET threat
यह क्यों महत्वपूर्ण है
ASP.NETの広範な利用により多数のWebアプリケーションが影響を受ける可能性。
MicrosoftはASP.NET Coreの高深刻度脆弱性CVE-2026-40372に対する緊急パッチをリリース。認証なしの攻撃者がmacOSやLinuxデバイスでSYSTEM権限を取得可能。バージョン10.0.0-10.0.6が影響を受け、暗号署名検証の欠陥が原因。
Microsoftは火曜日夜、ASP.NET CoreのWebフレームワークを使用するLinuxやmacOSアプリで、認証されていない攻撃者がSYSTEM権限を取得できる高深刻度脆弱性の緊急パッチを発表した。CVE-2026-40372として追跡されるこの脆弱性は、Microsoft.AspNetCore.DataProtection NuGetパッケージのバージョン10.0.0から10.0.6に影響する。
脆弱性は暗号署名の検証不備に起因し、HMAC検証プロセス中に認証ペイロードの偽造を可能にする。攻撃者は脆弱期間中に偽造認証情報を使用してシステムを完全に侵害できる。パッチ適用後も、攻撃者が作成した認証トークンが削除されていなければ危険が残る可能性がある。
Microsoftは「攻撃者が脆弱期間中に偽造ペイロードで特権ユーザーとして認証した場合、正当に署名されたトークンを取得している可能性がある」と警告。最大深刻度は10点中9.1点。影響を受けるのは主にmacOS、Linux等の非WindowsOSでバージョン10.0.6を実行したユーザー。