Vulnerabilitate 0-day identificată în Microsoft .NET

O actualizare de securitate urgentă a fost lansată pentru a remedia o vulnerabilitate recent identificată în .NET Framework, descoperită ca CVE-2026-26127.

Această vulnerabilitate de securitate permite atacatorilor neautentificați, aflați la distanță, să provoace un atac de tip Denial-of-Serivce (DoS) în rețea.

Cu un scor CvSS de 7.5/10, Microsoft a clasificat vulnerabilitatea ca având un grad de severitate important. Aceasta afectează mai multe versiuni ale .NET pe Windows, macOS și Linux, determinând administratorii să aplice urgent patch-urile oficiale.

Esența acestei vulnerabilități constă într-o eroare de tip out-of-bounds read, clasificată ca CWE-125.

În domeniul software development, o eroare de tip out-of-bounds read apare aunci când un program citește date peste limitele bufferului prevăzut, fie după sfârșit, fie înainte de început.

În contextul framework-ului .NET, această gestionare necorespunzătoară a memoriei poate provoca blocarea aplicației, împiedicând efectiv accesul utilizatorilor legitimi la serviciu.

Dacă un atacator trimite cu succes o cerere de rețea malițioasă către o aplicație .NET vulnerabilă, aceasta poate declanșa o eroare de tip out-of-bounds read, provocând blocarea sistemului.

Vulnerabilitatea de tip Denial-of-Service afectează atât aplicațiile .NET de bază, cât și anumite pachete de memorie pe mai multe sisteme de operare.

 Software-ul afectat include: .NET 9.0 instalat pe Windows, macOS și Linux, .NET 10.0 instalat pe Windows, macOS și Linux, Microsoft.Bcl.Memory 9.0, Microsoft.Bcl.Memory 10.0.

Administratorilor și dezvoltatorilor li se recomandă insistent aplicarea celor mai recente actualizări de securitate disponibile.

Prin aplicarea acestor remedieri oficiale, organizațiile își pot proteja infrastructura .NET împotriva potențialelor întreruperi ale serviciilor și pot menține disponibilitatea aplicațiilor critice.

Sursă: https://cybersecuritynews.com/microsoft-net-0-day-vulnerability/