Kurze Information für Nutzer, die die Microsoft .NET Desktop Runtime unter Windows verwenden. Microsoft hat zum 21. April 2026 ein Out-of-Band-Update veröffentlicht, dass die Microsoft .NET Desktop Runtime auf die Version 10.0.7 hebt. Hintergrund für das außerplanmäßige Sicherheitsupdate ist die Schwachstelle CVE-2026-40372, die eine Privilegien-Erhöung ermöglicht.
Bolko hat dankenswerterweise hier auf dieses Update hingewiesen (ich hatte es heute früh auch auf anderen Webseiten gesehen). Gemäß dem Eintrag auf GitHub enthält das Out-of-Band-Update einen Fix für die Schwachstelle CVE-2026-40372 in der Version 10.0.6. Es ist eine ASP.NET Core Elevation of Privilege-Schwachstelle, die mit einem CVSS 3.1-Score von 9.1 eingestuft wurde. Eine unzureichende Überprüfung der kryptografischen Signatur in ASP.NET Core ermöglicht es einem unbefugten Angreifer, seine Berechtigungen über das Netzwerk zu erweitern. Die Ausnutzung wird aber als "wenig wahrscheinlich" angesehen.
Auf der Download .NET 10.0-Seite sind die Download-Links für die diversen Betriebssystemversionen zu finden.
MVP: 2013 – 2016
10.0.7 muss man nur installieren wenn man zuvor selbst auch die Testversion 10.0.6 installiert hatte.
Selbst Visual Studio Preview 11716.218 von gestern enthielt aber erst das nicht betroffene 10.0.5.
Da es sich um einen Bug im Installer handelt ist das Kind dann ggf. auch schon bei der Installation von 10.0.6 in den Brunnen gefallen. Was aber sehr unwahrscheinlich ist. Deshalb nur ein CVSS von 3.1.
CVSS 3.1 war ja die "Version" und nicht Kardinalität.