本质新闻

微软于2026年4月22日发布紧急安全更新，修复ASP.NET Core框架中的高危漏洞CVE-2026-40372。该漏洞影响10.0.0至10.0.6版本的Microsoft.AspNetCore.DataProtection NuGet包，攻击者可利用其伪造认证凭据，获取系统级权限。漏洞源于加密签名验证机制缺陷，可能导致未授权用户完全控制运行Linux或macOS应用的设备。微软强调，即使系统升级至10.0.7版本，若未重置数据保护密钥环，攻击者此前生成的合法令牌仍有效，存在持续风险。该框架广泛用于跨平台Web应用开发，涉及Windows、macOS、Linux及Docker环境。

微软和甲骨文近期相继发布紧急补丁，引发业界对软件更新机制和安全维护流程的关注。微软发布的KB5085516紧急补丁用于修复用户在安装本月补丁周二推送的累积更新后出现的登录故障，部分设备显示“无网络”错误，导致无法访问多项服务。Oracle则针对CVE-2026-21992漏洞发布补丁，该漏洞CVSS评分高达9.8，允许未经认证的攻击者通过HTTP网络访问远程执行代码。微软在发布补丁前24小时仍强调更新应具备可预测性与稳定性，但连续三天内发布三项紧急热修复，引发对其可靠性承诺的质疑。业内专家指出，此类事件凸显大型软件企业维护系统稳定性的挑战。