🔒 Security & Privacy

Microsoft、ASP.NET Coreの緊急パッチをリリース:偽造された署名がバックドアを開いた経緯

LinuxやmacOSで稼働するASP.NET Coreアプリケーションは、暗号署名検証の根本的な欠陥により、静かに脅威にさらされていた。Microsoftの緊急パッチは、現代のWebフレームワークにおける信頼確立のあり方に、根本的な課題を突きつける。

Open Source Beat Apr 24, 2026 1 min read
Read in: English 日本語 한국어 Русский Türkçe
サーバーラックのクローズアップ、点滅するライトはデジタルインフラストラクチャを象徴している。

⚡ Key Takeaways

  • ASP.NET Coreの`DataProtection`パッケージにおける重大な脆弱性(CVE-2026-40372)により、認証なしの攻撃者がLinuxおよびmacOSでSYSTEM権限を取得可能になった。 𝕏
  • この欠陥は暗号署名検証の失敗に起因し、攻撃者は認証ペイロードを偽造し、正規に署名されたトークンを発行することができた。 𝕏
  • パッチ適用後も、DataProtectionキーリングがローテーションされない限り、偽造された認証情報は有効なままであり、持続的なリスクをもたらす。 𝕏
  • このインシデントは、オープンソースフレームワーク内、特にクロスプラットフォームでの普及が進む中で、暗号コンポーネントの徹底的なセキュリティ監査の重要性を浮き彫りにした。 𝕏
Written by

Sarah Chen

AI research editor covering LLMs, benchmarks, and the race between frontier labs. Previously at MIT CSAIL.

#Microsoft #asp.net core #security patch #vulnerability
More in Security & Privacy →

Worth sharing?

Get the best Open Source stories of the week in your inbox — no noise, no spam.

Originally reported by Ars Technica - Tech

Related Stories

📬

Stay in the loop

The week's most important stories from Open Source Beat, delivered once a week.

No spam. Unsubscribe any time.