NET veröffentlicht. Es schließt eine kritische Lücke, mit der Angreifer Systemrechte erlangen könnten. Die Eilaktualisierung .NET 10.0.7 kommt nur acht Tage nach den regulären April-Patches – ein Zeichen für die Dringlichkeit der Bedrohung.
Die Notfallkorrektur behebt die Schwachstelle CVE-2026-40372 mit einem Schweregrad von 9,1. Laut Microsoft wurde der Fehler versehentlich als Regression im Update .NET 10.0.6 vom 14. April eingeführt. Die Lücke kam ans Licht, nachdem Entwickler weit verbreitete Entschlüsselungsfehler in ihren Anwendungen meldeten.
So gefährlich ist die Sicherheitslücke
Die kritische Schwachstelle steckt im Microsoft.AspNetCore.DataProtection-Paket. Die Regression führte dazu, dass der Authentifizierungsverschlüsseler seinen HMAC-Validierungstag über falsche Teile der Nutzdaten berechnete. In manchen Fällen verwarf das System den berechneten Hash und validierte die Authentizität der Daten nicht korrekt.
Diese Lücke ermöglicht es Angreifern, Authentifizierungs-Cookies zu fälschen und geschützte Nutzdaten zu entschlüsseln. Dazu gehören OpenID Connect-Zustände, TempData und Anti-Fälschungs-Tokens. Ein erfolgreicher Angriff könnte zur Identitätsübernahme privilegierter Benutzer und zu SYSTEM-Zugriff auf betroffene Geräte führen. Microsoft bestätigt Risiken für Vertraulichkeit und Integrität sensibler Daten.
Besonders betroffen sind plattformübergreifende Umgebungen. Alle Nicht-Windows-Systeme mit .NET 10.0.6 sind gefährdet. Auch Anwendungen sind anfällig, wenn sie Versionen 10.0.0 bis 10.0.6 des Data Protection-Pakets nutzen und auf net462 oder netstandard2.0 abzielen. Diese Kombination tritt oft auf, wenn eine App ein älteres Framework wie .NET 8.0 oder 9.0 nutzt, aber das aktualisierte Paket lädt.
Das müssen Entwickler und Admins jetzt tun
Die Behebung erfordert mehr als ein Server-Update. Entwicklungsteams müssen ihre Projektabhängigkeiten manuell auf Version 10.0.7 aktualisieren und ihre Software neu bereitstellen. Nur so werden die Validierungsroutinen korrigiert und gefälschte Nutzdaten automatisch abgewiesen.
Microsoft warnt zudem vor der Persistenz gefälschter Tokens. Hat ein Angreifer vor dem Patch als privilegierter Benutzer authentifiziert, könnte die App legitime Session-Refresh-Tokens oder API-Schlüssel ausgestellt haben. Diese bleiben auch nach dem Upgrade auf .NET 10.0.7 gültig. Admins sollten daher ihre Data Protection-Key-Rings rotieren, um kompromittierte Sitzungen zu invalideren.
Die Aktualisierung ist über das offizielle Microsoft-Download-Portal und den NuGet-Katalog verfügbar. Administratoren können die erfolgreiche Installation überprüfen, indem sie die .NET-Versionsnummer 10.0.7 prüfen.
Trend zu immer kritischeren Sicherheitslücken
Das Notfall-Update folgt dicht auf die regulären April-Patches vom 14. April. Diese beheben bereits mehrere andere .NET-Schwachstellen, darunter eine Remote-Code-Ausführung-Lücke und mehrere Denial-of-Service-Fehler.
Die Häufung kritischer Probleme fällt Analysten auf. Ein Bericht von BeyondTrust vom 21. April zeigt einen Wandel: Während die Gesamtzahl gemeldeter Microsoft-Schwachstellen 2025 um 6 Prozent sank, verdoppelte sich fast die Zahl kritischer Lücken – von 78 auf 157. Das deutet auf eine Konzentration von Risiken bei hochgefährlichen Schwachstellen hin.
Angesichts der rasanten Zunahme kritischer Schwachstellen stehen besonders Unternehmen vor der Herausforderung, ihre IT-Infrastruktur proaktiv zu schützen. Dieses kostenlose E-Book liefert IT-Verantwortlichen fundierte Informationen über aktuelle Bedrohungstrends und praxisnahe Schutzmaßnahmen. Gratis-E-Book: Cyber Security Trends und Schutzstrategien herunterladen
Rechteausweitungslücken (EoP) bleiben die häufigste Kategorie und machen 40 Prozent aller gemeldeten Probleme aus. Das spiegelt die Natur des aktuellen .NET-Updates wider und zeigt: Angreifer zielen weiterhin priorisiert auf Identitäten und Berechtigungen.
Zeitdruck für veraltete .NET-Versionen
Der Fokus auf .NET 10-Sicherheit kommt, da viele Unternehmen auf die Long-Term-Support-Version (LTS) wechseln. Microsoft unterstützt .NET 10 bis November 2028 – die primäre Wahl für stabile Unternehmenssysteme.
Ältere Versionen laufen aus. Der Support für .NET 8 endet im November 2026. Unternehmen mit .NET 8 oder .NET 9 sollten ihre Migration zu .NET 10 planen, um von Leistungsoptimierungen und einer stärkeren Sicherheitsbasis zu profitieren.
Der Vorfall erinnert an die Komplexität moderner Laufzeitumgebungen. Bereits Anfang 2026 wurde eine Use-After-Free-Lücke in .NET Framework und Visual Studio entdeckt. Zusammen mit einem HTTP-Request-Smuggling-Bug im Kestrel-Webserver Ende 2025 zeigt sich: Der .NET-Sicherheitsfahrplan erfordert schnelles Patchen und proaktives Dependency-Management.
