Microsoft .NET Desktop Runtime 10.0.7: OOB update fixt CVE-2026-40372Borns IT- und Windows-Blog

Microsoft .NET Desktop Runtime 10.0.7: OOB update fixt CVE-2026-40372

Update Kurze Information für Nutzer, die die Microsoft .NET Desktop Runtime unter Windows verwenden. Microsoft hat zum 21. April 2026 ein Out-of-Band-Update veröffentlicht, dass die Microsoft .NET Desktop Runtime auf die Version 10.0.7 hebt. Hintergrund für das außerplanmäßige Sicherheitsupdate ist die Schwachstelle CVE-2026-40372, die eine Privilegien-Erhöung ermöglicht.

Bolko hat dankenswerterweise hier auf dieses Update hingewiesen (ich hatte es heute früh auch auf anderen Webseiten gesehen). Gemäß dem Eintrag auf GitHub enthält das Out-of-Band-Update einen Fix für die Schwachstelle CVE-2026-40372 in der Version 10.0.6. Es ist eine ASP.NET Core Elevation of Privilege-Schwachstelle, die mit einem CVSS 3.1-Score von 9.1 eingestuft wurde. Eine unzureichende Überprüfung der kryptografischen Signatur in ASP.NET Core ermöglicht es einem unbefugten Angreifer, seine Berechtigungen über das Netzwerk zu erweitern. Die Ausnutzung wird aber als "wenig wahrscheinlich" angesehen.

Auf der Download .NET 10.0-Seite sind die Download-Links für die diversen Betriebssystemversionen zu finden.

Dieser Beitrag wurde unter Sicherheit, Software, Update abgelegt und mit Sicherheit, Software, Update verschlagwortet. Setze ein Lesezeichen für den Permalink.

7 Kommentare zu Microsoft .NET Desktop Runtime 10.0.7: OOB update fixt CVE-2026-40372

peter0815 sagt:

22. April 2026 um 10:44 Uhr

10.0.7 muss man nur installieren wenn man zuvor selbst auch die Testversion 10.0.6 installiert hatte.

Selbst Visual Studio Preview 11716.218 von gestern enthielt aber erst das nicht betroffene 10.0.5.

Da es sich um einen Bug im Installer handelt ist das Kind dann ggf. auch schon bei der Installation von 10.0.6 in den Brunnen gefallen. Was aber sehr unwahrscheinlich ist. Deshalb nur ein CVSS von 3.1.

Antworten
- Sebastian Welsch sagt:
  
  22. April 2026 um 12:15 Uhr
  
  CVSS 3.1 war ja die "Version" und nicht Kardinalität.
  
  Antworten
- Matze sagt:
  
  22. April 2026 um 14:18 Uhr
  
  Wo stand und wer hat behauptet, dass DotNet 10.0.6 'nur' eine Testversion sei?
  
  Antworten
- Bolko sagt:
  
  23. April 2026 um 15:24 Uhr
  
  NET 10.0.6 wurde ganz normal am Patchday veröffentlicht und nirgendwo war die Rede von "Testversion".
  
  Releasenotes:
  
  ".NET 10.0.6 – April 14, 2026
  The .NET 10.0.6 release is available for download."
  
  *ttps://github.com/dotnet/core/blob/main/release-notes/10.0/10.0.6/10.0.6.md
  
  Antworten
Matthias G. sagt:

22. April 2026 um 15:50 Uhr

Die Sicherheitslücke betrifft aber nur Nicht-Windows Systeme (Your application runs on Linux, macOS, or another non-Windows OS)

Antworten
Jonathan sagt:

22. April 2026 um 16:17 Uhr

Zum Glück haben wir noch .NET 8.0 und .NET 6.0 im Einsatz – die sind wohl nicht betroffen ;)

PS: Ja, mir ist bekannt, dass .NET 6.0 seit Ende 2024 EOL ist. Dummerweise setzen aber die ERP-Systeme beider Firmen noch auf .NET 6.0…

Antworten
Frank sagt:

23. April 2026 um 15:10 Uhr

Kommt das OOB über die regulären Updates z.B. WSUS?

Antworten

Microsoft .NET Desktop Runtime 10.0.7: OOB update fixt CVE-2026-40372

7 Kommentare zu Microsoft .NET Desktop Runtime 10.0.7: OOB update fixt CVE-2026-40372

Antworte auf den Kommentar von Matze Antwort abbrechen

Translate

Suchen

Blogs auf Borncity

Spenden und Sponsoren

Aus dem DNV-Netzwerk

Links

Amazon

Awards

Blogroll

Soziale Netzwerke-Seiten

Foren

Neueste Kommentare