Microsoft вне расписания исправляет уязвимость в ASP.NET Core для Linux и macOS. Проблема была в защите данных
Microsoft в очередной раз вышла за рамки привычного ритма исправления ошибок, и на этот раз речь не идет о Windows. Проблема затронула ASP.NET Core, а точнее, механизм защиты данных, используемый приложениями для обработки файлов cookie, токенов и других конфиденциальных данных. Это один из тех случаев, когда несколько строк, казалось бы, технического кода внезапно становятся интересными для администраторов, разработчиков и операторов услуг, доступных в Интернете.
Это не простая ошибка, которую можно отметить в журнале изменений, а напоминание о том, что ошибка на уровне криптографии может превратить обычное обновление в полноценный производственный аудит.
Cisco IMC и NFVIS с критической уязвимостью. Польская администрация рекомендует немедленно обновить или отключить оборудование
Никакой экзотический плагин здесь не сломался, просто элемент, которому обычно доверяют без вопросов. CVE-2026-40372 затрагивает Microsoft.AspNetCore.DataProtection версий с 10.0.0 по 10.0.6 и вызван неправильной проверкой подписи HMAC. На практике это открыло путь к подделке защищенных учетных данных, а в некоторых случаях и к расшифровке ранее защищенных полезных данных. Развертывания, работающие в Linux, macOS и других системах, отличных от Windows, подвергались наибольшему риску, если они фактически загружали уязвимую версию пакета NuGet, а не безопасный вариант из общей платформы.
Mozilla Firefox 150 с исправлениями 271 уязвимости. Anthropic Claude Mythos меняет подход к аудиту кода
Для обычного конечного пользователя это невидимая проблема, но не для компаний, поддерживающих панели, API и веб-сервисы. Microsoft не только советует нам перейти на версию 10.0.7 и повторно развернуть приложения, но также рассмотреть возможность ротации набора ключей Data Protection, поскольку токены, выданные злоумышленнику во время уязвимого окна, могут оставаться действительными после самого обновления. Именно эта деталь отличает обычное исправление от инцидента безопасности. Подобная тема уже вернулась в PurePC с экстренными патчами для Microsoft Office и SharePoint Server. Сегодня побеждает не тот, кто ставит патчи раз в месяц, а тот, кто сможет быстро оценить воздействие и устранить побочные эффекты.
Adobe активно исправляет известную ошибку в Acrobat Reader. Вредоносный PDF-файл злоупотреблял JavaScript и привилегированными API.
По сравнению с конкурентами, эта проблема не только дискредитирует сам ASP.NET Core, но и угрожает более широкому обещанию порядка, за счет которого экосистема .NET жила годами. В Node.js или в мире JVM-фреймворков никого не удивляет беспорядок зависимостей. Здесь ошибка затронула основы защиты данных и произошла во время планового обслуживания. Долгосрочный эффект может быть простым. Речь идет о более осторожном подходе к ранним выпускам .NET 10, большем акценте на инвентаризацию фактически загруженных пакетов, а также о меньшей вере в тот факт, что простая установка патча автоматически устраняет проблему.
Источник: блоги разработчиков Microsoft, служба поддержки Microsoft, The Hacker News, GitHub, Graphics AI.
