Microsoft behebt kritische Sicherheitslücke in ASP.NET Core

Microsoft hat am 22. April 2026 ein außerplanmäßiges Update veröffentlicht, um eine kritische Sicherheitsanfälligkeit in ASP.NET Core zu beheben. Diese Schwachstelle, die unter der Kennung CVE-2026-40372 geführt wird, ermöglicht es Angreifern, Privilegien zu eskalieren. Der CVSS-Score für diese Sicherheitsanfälligkeit liegt bei 9.1 von maximal 10.0, was sie als äußerst kritisch einstuft. Die Schwachstelle wurde von einem anonymen Forscher entdeckt und gemeldet.

Microsoft hat die Anfälligkeit als „wichtig“ eingestuft, was auf die potenziellen Risiken für betroffene Systeme hinweist. Die genaue Art der Schwachstelle wird als „unzureichende Überprüfung kryptografischer Operationen“ beschrieben, was bedeutet, dass Angreifer möglicherweise unbefugten Zugriff auf sensible Daten erlangen können. Das Update wurde für alle unterstützten Versionen von ASP.NET Core bereitgestellt. Microsoft empfiehlt allen Nutzern, die Updates umgehend zu installieren, um ihre Systeme vor möglichen Angriffen zu schützen. Die Sicherheitsanfälligkeit betrifft sowohl lokale als auch cloudbasierte Anwendungen, die auf ASP.NET Core basieren.

Die Veröffentlichung des Updates erfolgt in einem kritischen Zeitpunkt, da Cyberangriffe auf Webanwendungen in den letzten Monaten zugenommen haben. Sicherheitsforscher warnen, dass Angreifer aktiv nach Schwachstellen in weit verbreiteten Softwarelösungen suchen, um diese auszunutzen. Die schnelle Reaktion von Microsoft auf diese Entdeckung zeigt die Dringlichkeit, mit der solche Sicherheitsprobleme behandelt werden müssen. Die ASP.NET Core-Plattform wird häufig für die Entwicklung von Webanwendungen verwendet, was die Bedeutung der Behebung dieser Schwachstelle unterstreicht. Unternehmen, die auf diese Technologie setzen, sollten sicherstellen, dass ihre Systeme auf dem neuesten Stand sind, um Sicherheitsrisiken zu minimieren.

Microsoft hat in der Vergangenheit betont, wie wichtig es ist, Sicherheitsupdates regelmäßig zu installieren. Die Sicherheitslücke könnte potenziell eine Vielzahl von Anwendungen betreffen, die in verschiedenen Branchen eingesetzt werden, darunter Finanzdienstleistungen, Gesundheitswesen und E-Commerce. Experten raten dazu, nicht nur die Software zu aktualisieren, sondern auch die Sicherheitsrichtlinien innerhalb der Organisation zu überprüfen, um sicherzustellen, dass alle Mitarbeiter über die neuesten Bedrohungen informiert sind. Microsoft hat angekündigt, dass weitere Informationen zur Schwachstelle und zu den spezifischen Auswirkungen auf verschiedene Versionen von ASP.NET Core in den kommenden Tagen veröffentlicht werden. Die Sicherheitscommunity wird die Situation genau beobachten, um sicherzustellen, dass alle betroffenen Nutzer die notwendigen Schritte unternehmen, um ihre Systeme zu schützen.

Die Veröffentlichung des Updates ist Teil von Microsofts fortlaufenden Bemühungen, die Sicherheit seiner Produkte zu gewährleisten. Das Unternehmen hat in den letzten Jahren erhebliche Ressourcen in die Verbesserung seiner Sicherheitsinfrastruktur investiert. Die Reaktion auf die Entdeckung von CVE-2026-40372 ist ein Beispiel für diese proaktive Sicherheitsstrategie. Microsoft plant, das Update bis Ende April 2026 für alle Nutzer auszurollen. Die Sicherheitslücke CVE-2026-40372 betrifft nach Angaben des Unternehmens eine Vielzahl von Systemen weltweit.