Содержание:
- 1 Hollow Knight: Silksong — песнь страданий и радостей. Рецензия
- 2 Пять причин полюбить HONOR Magic7 Pro
- 3 Почему ИИ никак не сесть на безматричную диету
- 4 HUAWEI FreeArc: вероятно, самые удобные TWS-наушники
- 5 Фитнес-браслет HUAWEI Band 10: настоящий металл
- 6 Пять причин полюбить HONOR X8c
- 7 Обзор умных часов HUAWEI WATCH 5: часы юбилейные
- 8 Пять причин полюбить HONOR Pad V9
На этой неделе Microsoft выпустила патч для исправления критической уязвимости, которая получила отметку как «самая серьёзная за всю историю» кроссплатформенного фреймворка ASP.NET Core. Речь об уязвимости CVE-2025-55315, которая связана с перенаправлением HTTP-запросов и была выявлена в веб-сервере Kestrel для ASP.NET Core.
Hollow Knight: Silksong — песнь страданий и радостей. Рецензия
Пять причин полюбить HONOR Magic7 Pro
Почему ИИ никак не сесть на безматричную диету
HUAWEI FreeArc: вероятно, самые удобные TWS-наушники
Фитнес-браслет HUAWEI Band 10: настоящий металл
Пять причин полюбить HONOR X8c
Обзор умных часов HUAWEI WATCH 5: часы юбилейные
Пять причин полюбить HONOR Pad V9
Используя упомянутую уязвимость, авторизованный в системе злоумышленник мог встраивать дополнительные HTTP-запросы для перехвата чужих сессий или обхода функций безопасности. «Злоумышленник, использующий эту уязвимость, может получить доступ к конфиденциальной информации, такой как учётные данные пользователей, а также может вносить изменения в содержимое файлов на целевом сервере, что может приводить к сбоям в его работе», — говорится в сообщении Microsoft.
Пользователям разных версий платформы Microsoft рекомендует предпринять определённые действия, чтобы закрыть уязвимость. Тем, кто использует .NET 8 и более новые версии фреймворка, рекомендуется задействовать сервис Microsoft Update для загрузки патча, после чего он установится и устройство нужно будет перезагрузить. Пользователям .NET 2.3 требуется обновиться ссылку на пакет Microsoft.AspNetCore.Server.Kestrel.Core, а затем заново скомпилировать и развернуть приложение. Если же речь о самодостаточных или однофайловых приложениях, то следует установить патч, заново скомпилировать и развернуть приложение. Для устранения уязвимости Microsoft выпустила патчи для Visual Studio 2022, ASP.NET Core 2.3, ASP.NET Core 8.0, ASP.NET Core 9.0 и пакета Microsoft.AspNetCore.Server.Kestrel.Core для приложений с ASP.NET Core 2.x.
Представитель Microsoft отметил, что последствия атак через уязвимость CVE-2025-55315 зависят от архитектуры конкретного приложения. Злоумышленник может авторизоваться в системе с данными другого пользователя для повышения привилегий, осуществлять выполнение скрытых внутренних запросов и др. «Но мы не знаем, что именно может произойти, поскольку это зависит от того, как вы написали своё приложение. Поэтому мы оцениваем уязвимость исходя из наихудшего возможного сценария — обхода функций безопасности», — приводи источник слова представителя Microsoft.