Zero-day ranjivost u Microsoft .NET omogućava rušenje aplikacija
Microsoft je tokom martovskog Patch Tuesday izdanja zakrpio ranjivost CVE-2026-26127 u .NET frameworku koja omogućava udaljenim napadačima da izazovu rušenje aplikacija i prekid usluge. Problem pogađa .NET 9.0 i .NET 10.0 na Windows, macOS i Linux sistemima i potiče iz greške u proveri granica memorije prilikom obrade Base64Url podataka.
Pojašnjenje
Iako ranjivost ne omogućava izvršavanje koda, napadači mogu slati posebno oblikovane zahteve koji izazivaju pad procesa, što može dovesti do prekida rada web aplikacija, API servisa ili cloud platformi zasnovanih na .NET tehnologiji. Ponovljeni napadi mogu izazvati produžene zastoje i operativne probleme.
Preporuke
- Instalirati Microsoft Patch Tuesday ažuriranja objavljena 10. marta 2026
- Ažurirati sve .NET 9.0 i .NET 10.0 runtime instance na zakrpljene verzije
- Pratiti mrećni saobraćaj i zahteve koji sadrže sumnjive Base64Url podatke
- Uvesti rate-limiting mehanizme kako bi se smanjio rizik od DoS napada