Microsoft'tan .NET 10.0.7 güncellemesiyle kritik güvenlik alarmı

Microsoft, .NET platformunda ortaya çıkan ve sistem ayrıcalıklarının ele geçirilmesine yol açabilen kritik bir güvenlik açığını kapatmak için acil bir dış güncelleme yayınladı. Şirket, CVE-2026-40372 koduyla takip edilen bu açık nedeniyle .NET 10.0.7 sürümünü hızla kullanıma sundu. Güvenlik açığı, Microsoft.AspNetCore.DataProtection NuGet paketinin 10.0.0 ile 10.0.6 sürümlerini kullanan uygulamaları ve özellikle Windows dışındaki işletim sistemlerinde çalışan yazılımları hedef alıyor. Microsoft, bu güvenlik riskinin tedarik zincirine ciddi tehdit oluşturduğunu vurguladı ve kullanıcıların en kısa sürede yeni güncellemeyi yüklemeleri gerektiğini belirtti.

Microsoft: 'Sistem ayrıcalıkları saldırganların eline geçebilir'

Microsoft'un açıklamasına göre, söz konusu güvenlik açığı saldırganlara kimlik doğrulama çerezlerini sahteleyerek veya şifrelenmiş yüklerdeki verileri çözerek sistemde ayrıcalık yükseltme imkânı tanıyor. Bu durum, kötü niyetli kişilerin işletim sisteminde SYSTEM düzeyinde yetki elde etmesine ve dosyaları okuma, değiştirme gibi kritik işlemler yapmasına yol açabiliyor. Şirket, özellikle Microsoft.AspNetCore.DataProtection paketinin 10.0.0 ile 10.0.6 arasındaki sürümlerini kullanan ve net462 veya netstandard2.0 hedefleyen uygulamaların büyük risk altında olduğunu ifade etti. Bu kombinasyonun genellikle alışılmadık olmasına rağmen, etkilenen sistemlerin sayısının azımsanmayacak düzeyde olduğu bildirildi. Microsoft, güvenlik açığının etkilediği tüm sistemlerin derhal .NET 10.0.7 sürümüne geçmesi gerektiğini ve bu güncellemenin yüklenmemesi halinde saldırı riskinin devam edeceğini vurguladı.

.NET 10.0.7 güncellemesiyle şifre çözme hatası da giderildi

Microsoft, Patch Tuesday kapsamında kısa süre önce yayımlanan .NET 10.0.6 sürümünün ardından bazı kullanıcıların şifre çözme işlemlerinde başarısızlık yaşadığını bildirmesinin ardından kapsamlı bir inceleme başlattı. Yapılan araştırmada, yalnızca şifre çözme hatası değil, aynı zamanda çok daha tehlikeli bir güvenlik açığı da tespit edildi. Şirket, bu nedenle .NET 10.0.7 güncellemesini hem şifre çözme sorununu hem de CVE-2026-40372 güvenlik açığını ortadan kaldıracak şekilde tasarladı. Kullanıcıların, güncellenmiş paketi indirip yükledikten sonra dotnet --info komutuyla sürüm doğrulaması yapmaları ve ardından bağımlı yazılımlarını yeniden derleyip dağıtmaları önerildi. Microsoft, özellikle Linux, macOS ve diğer Windows dışı işletim sistemlerinde çalışan uygulamaların bu güncellemeye öncelik vermesi gerektiğini belirtti. Ayrıca, BT yöneticilerine desteklenmeyen .NET sürümlerini kullanmamaları ve sistemlerini düzenli olarak güncellemeleri konusunda uyarıda bulunuldu.