深度分析
Microsoft.AspNetCore.DataProtection HMAC 驗證回歸錯誤:受影響平台與補救指南
微軟為 ASP.NET Core 的 Microsoft.AspNetCore.DataProtection 套件發出緊急更新,修補一項可被未驗證攻擊者濫用、導致 SYSTEM 權限提升的高風險漏洞。根源在於 HMAC 簽章驗證處理錯誤,造成驗證標籤計算與檢查流程落差,攻擊者可能藉此偽造認證荷載。
深度分析
微軟為 ASP.NET Core 的 Microsoft.AspNetCore.DataProtection 套件發出緊急更新,修補一項可被未驗證攻擊者濫用、導致 SYSTEM 權限提升的高風險漏洞。根源在於 HMAC 簽章驗證處理錯誤,造成驗證標籤計算與檢查流程落差,攻擊者可能藉此偽造認證荷載。
深度分析
研究人員公開未完整修補的Linux核心提權漏洞CopyFail,單一Python腳本可在多數發行版取得root,讓容器、Kubernetes與CI/CD流水線瞬間失守,業界面臨緊急修補與協調挑戰。此漏洞源於kernel加密API的直線邏輯錯誤,修補在10.0.7前仍缺乏統一部署,提醒開發者重視金鑰管理。