Κυκλοφόρησε μια επείγουσα ενημέρωση ασφαλείας για την αντιμετώπιση μιας ευπάθειας που αποκαλύφθηκε πρόσφατα στο .NET Framework, η οποία παρακολουθείται ως CVE-2026-26127.
Αυτό το ελάττωμα ασφαλείας επιτρέπει σε μη επαληθευμένους, απομακρυσμένους εισβολείς να ενεργοποιούν μια συνθήκη άρνησης υπηρεσίας (DoS) στο δίκτυο.
Με βαθμολογία CVSS 7,5, η Microsoft έχει ταξινομήσει την ευπάθεια ως “Σημαντική”. Επηρεάζει πολλές εκδόσεις του .NET σε Windows, macOS και Linux, προτρέποντας τους διαχειριστές να εφαρμόσουν επειγόντως τις επίσημες ενημερώσεις κώδικα.
Ο πυρήνας αυτής της ευπάθειας βρίσκεται σε μια αδυναμία ανάγνωσης εκτός ορίων, που κατηγοριοποιείται στο CWE-125.
Στην ανάπτυξη λογισμικού, μια ανάγνωση εκτός ορίων συμβαίνει όταν ένα πρόγραμμα διαβάζει δεδομένα πέρα από τα όρια του προβλεπόμενου buffer, είτε μετά το τέλος είτε πριν από την αρχή.
Στο πλαίσιο του πλαισίου .NET, αυτός ο λανθασμένος χειρισμός της μνήμης μπορεί να προκαλέσει διακοπή λειτουργίας της εφαρμογής, αρνούμενη ουσιαστικά την υπηρεσία σε νόμιμους χρήστες.
Το πιο ανησυχητικό είναι ότι μπορεί να εκτελεστεί εξ αποστάσεως μέσω δικτύου χωρίς να απαιτείται αυξημένα προνόμια ή αλληλεπίδραση από τον χρήστη-στόχο.
Εάν ένας εισβολέας στείλει με επιτυχία ένα ειδικά διαμορφωμένο αίτημα δικτύου σε μια ευάλωτη εφαρμογή .NET, μπορεί να ενεργοποιήσει μια ανάγνωση εκτός ορίων, προκαλώντας συντριβή του συστήματος.
Παρά τη σοβαρότητα του ελαττώματος, η αξιολόγηση εκμεταλλευσιμότητας της Microsoft αναφέρει επί του παρόντος την εκμετάλλευση ως “Απίθανη”. Σύμφωνα με τις μετρήσεις ευπάθειας που παρέχονται από τη Microsoftτο exploit απαιτεί χαμηλό επίπεδο πολυπλοκότητας επίθεσης.
Ωστόσο, οι διαχειριστές θα πρέπει να παραμείνουν προσεκτικοί. Ένας ανώνυμος ερευνητής αποκάλυψε δημόσια τις λεπτομέρειες της ευπάθειας.
Δεν υπάρχουν επί του παρόντος στοιχεία ενεργητικής εκμετάλλευσης στη φύση, ούτε ώριμος κώδικας εκμετάλλευσης που κυκλοφορεί σε υπόγεια φόρουμ.
Η δημόσια διαθεσιμότητα των λεπτομερειών ευπάθειας αυξάνει τον κίνδυνο οι φορείς απειλής να επιχειρήσουν να αναστρέψει μια λειτουργική εκμετάλλευση.
Λογισμικό και συστήματα που επηρεάζονται
Η ευπάθεια Denial-of-Service επηρεάζει τόσο τις βασικές εγκαταστάσεις .NET όσο και συγκεκριμένα πακέτα μνήμης σε πολλά λειτουργικά συστήματα. Το λογισμικό που επηρεάζεται περιλαμβάνει:
.NET 9.0 εγκατεστημένο σε Windows, macOS και Linux, .NET 10.0 εγκατεστημένο σε Windows, macOS και Linux, Microsoft.Bcl.Memory 9.0, Microsoft.Bcl.Memory 10.0.
Η Microsoft κυκλοφόρησε επίσημα ενημερώσεις ασφαλείας για την επιδιόρθωση του σφάλματος ανάγνωσης εκτός ορίων. Απαιτείται δράση πελατών για την ασφάλεια των ευάλωτων συστημάτων.
Συνιστάται στους διαχειριστές και τους προγραμματιστές να λάβουν αμέσως τα ακόλουθα βήματα:
Ενημέρωση περιβάλλοντος .NET 9.0: Αναβαθμίστε όλες τις εγκαταστάσεις .NET 9.0 για να δημιουργήσετε την έκδοση 9.0.14. Αυτό ισχύει για Windows, macOS και Linux.
Ενημέρωση περιβαλλόντων .NET 10.0: Αναβαθμίστε όλες τις εγκαταστάσεις .NET 10.0 για να δημιουργήσετε την έκδοση 10.0.4.
Patch πακέτα NuGet: Εάν οι εφαρμογές σας χρησιμοποιούν το πακέτο Microsoft.Bcl.Memory, ενημερώστε τις ενημερωμένες εκδόσεις 9.0.14 ή 10.0.4 μέσω του διαχειριστή πακέτων.
Έλεγχος αρχείων καταγραφής συστήματος: Αν και η εκμετάλλευση είναι απίθανη επί του παρόντος, είναι πάντα η βέλτιστη πρακτική να παρακολουθείτε την κυκλοφορία δικτύου και τα αρχεία καταγραφής εφαρμογών για απροσδόκητα σφάλματα ή ασυνήθιστα αιτήματα δικτύου που θα μπορούσαν να υποδηλώνουν απόπειρα DoS.
Εφαρμόζοντας αυτές τις επίσημες διορθώσεις, οι οργανισμοί μπορούν να προστατεύσουν την υποδομή .NET τους από πιθανές διακοπές της υπηρεσίας και να διατηρήσουν τη διαθεσιμότητα των κρίσιμων εφαρμογών τους.
