Microsoft poza harmonogramem łata lukę w ASP.NET Core dla Linux i macOS. Problem siedział w Data Protection

Microsoft znowu wyszedł poza zwykły rytm łatania błędów i tym razem nie chodzi o Windows. Problem trafił w ASP.NET Core, a dokładniej w mechaniźmie Data Protection używanym przez aplikacje do obsługi ciasteczek, tokenów i innych wrażliwych danych. To jeden z tych przypadków, w których kilka linijek pozornie technicznego kodu nagle zaczyna interesować administratorów, deweloperów i operatorów usług wystawionych do internetu.

Tu nie chodzi o zwykłego buga, który można odhaczyć w changelogu, tylko o przypomnienie, że błąd w warstwie kryptografii potrafi zamienić rutynową aktualizację w pełny audyt produkcji.

Cisco IMC i NFVIS z krytyczną podatnością. Polska administracja zaleca natychmiastowy update lub wyłączenie sprzętu

Tu nie pękła żadna egzotyczna wtyczka, tylko element, któremu zwykle ufa się bez dyskusji. Luka CVE-2026-40372 dotyczy pakietu Microsoft.AspNetCore.DataProtection w wersjach 10.0.0-10.0.6 i wynika z błędnej weryfikacji podpisu HMAC. W praktyce otwierało to drogę do fałszowania chronionych danych uwierzytelniających, a w części scenariuszy także do odszyfrowania wcześniej zabezpieczonych ładunków. Najbardziej narażone były wdrożenia uruchamiane na Linuxie, macOS i innych systemach niebędących Windowsem, o ile faktycznie ładowały podatną wersję paczki NuGet, a nie bezpieczny wariant z frameworka współdzielonego.

Mozilla Firefox 150 z poprawkami dla 271 podatności. Anthropic Claude Mythos zmienia sposób audytu kodu

Dla zwykłego użytkownika końcowego to problem niewidoczny, ale dla firm utrzymujących panele, API i usługi webowe już nie. Microsoft każe nie tylko przejść na wersję 10.0.7 i ponownie wdrożyć aplikacje, lecz także rozważyć rotację key ringu Data Protection, bo tokeny wystawione napastnikowi w czasie podatnego okna mogą pozostać ważne po samej aktualizacji. To właśnie ten detal robi różnicę między zwykłym patchem a incydentem bezpieczeństwa. Na PurePC wracał już podobny motyw przy awaryjnych poprawkach dla Microsoft Office i SharePoint Server. Dziś nie wygrywa ten, kto łata raz w miesiącu, tylko ten, kto potrafi szybko ocenić ekspozycję i zniwelować skutki uboczne.

Adobe aktywnie łata znany błąd w Acrobat Readerze. Złośliwy PDF nadużywał JavaScript i uprzywilejowanych API

Na tle konkurencji problem nie kompromituje wyłącznie samego ASP.NET Core, ale uderza w szerszą obietnicę porządku, z której ekosystem .NET żyje od lat. W Node.js czy w świecie frameworków JVM bałagan zależności nikogo nie dziwi. Tutaj błąd dotknął fundamentu ochrony danych i wyszedł przy okazji rutynowego serwisowania. Długofalowy skutek może być prosty. Chodzi o ostrożniejsze podejście do wczesnych wydań .NET 10, większy nacisk na inwentaryzację realnie ładowanych pakietów, jak również pokładanie mniejszej wiary w to, że sama instalacja łatki automatycznie kończy temat problemów.