Microsoft har nyligen utfärdat en akut säkerhetsuppdatering för att hantera en allvarlig säkerhetsbrist i sitt populära webbapplikationsramverk ASP.NET Core, som påverkar applikationer som körs på macOS och Linux. Sårbarheten, som har fått identifieraren CVE-2026-40372, utgör ett stort hot då den kan ge obehöriga angripare möjligheten att uppnå SYSTEM-nivåbehörigheter på de drabbade systemen.

Denna kritiska sårbarhet beror på en bristfällig verifiering av kryptografiska signaturer i Microsoft.AspNetCore.DataProtection NuGet-paketet, som används för att skydda datautbyte mellan klient och server. Det handlar specifikt om versionerna 10.0.0 till 10.0.6. Problemet ligger i hur HMAC-valideringsprocessen hanteras, vilket kan utnyttjas av angripare för att skapa falska autentiseringar.

Ett av de mest oroande aspekterna med denna sårbarhet är att även efter att en uppdatering har installerats kan system fortfarande vara sårbara om angriparna under den utsatta perioden lyckades skapa och använda giltiga autentiseringstoken. Dessa token fortsätter att vara giltiga tills DataProtection-nyckelringen roteras, vilket innebär att företagsanvändare behöver vidta ytterligare åtgärder för att säkerställa att deras system inte längre är komprometterade.

Microsofts akututgåva av version 10.0.7 av DataProtection-paketet adresserar den upptäckta bristen och inkluderar korrigeringar för regressionsproblem som uppstod i tidigare versioner. Användare uppmanas starkt att uppdatera så snart som möjligt, särskilt de som använder ASP.NET Core på macOS och Linux. För svenska utvecklare och företag som förlitar sig på dessa plattformar är det av yttersta vikt att snabbt implementera denna uppdatering för att undvika potentiella säkerhetsintrång.

Det är inte första gången som säkerhetsfrågor uppstår i öppen källkodsprojekt som ASP.NET Core, men Microsofts snabba respons visar på vikten av att ständigt övervaka och uppdatera kritiska komponenter i IT-infrastrukturen. För organisationer i Sverige, där digital transformation är i full gång, kan sådana sårbarheter få långtgående konsekvenser om de inte hanteras omedelbart.

Att förstå vikten av att hålla programvaran uppdaterad och att snabbt reagera på säkerhetsvarningar är avgörande för att skydda både data och integriteten i dagens alltmer hotfulla digitala landskap. Microsofts hantering av denna sårbarhet är en påminnelse om att även stora aktörer inte är immuna mot säkerhetsutmaningar och att kontinuerlig vaksamhet är nödvändig för att upprätthålla säkerheten i moderna IT-miljöer.

FAKTAKOLL: Notering — CVE-2026-40372 är en framtida identifierare och kan vara fabricerad.; Det finns inga bekräftade källor som stödjer att sårbarheten påverkar macOS och Linux specifikt.; Det finns inga källor som bekräftar att version 10.0.7 av DataProtection-paketet har släppts.