ANAVEM
EN
Référence
Developer workstation showing .NET Framework security update installation process
KB5077862.NET Framework.NET Framework

KB5077862 — Mise à jour de sécurité pour le Framework .NET 10.0

KB5077862 est une mise à jour de sécurité pour le Framework .NET 10.0 qui corrige plusieurs vulnérabilités, y compris CVE-2026-0847 et CVE-2026-0848, affectant les applications fonctionnant sur les plateformes Windows, macOS et Linux.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
11 mars 202612 min de lecture0 vues

KB5077862 est une mise à jour de sécurité pour le Framework .NET 10.0 qui corrige plusieurs vulnérabilités, y compris CVE-2026-0847 et CVE-2026-0848, affectant les applications fonctionnant sur les plateformes Windows, macOS et Linux.

Résumé

KB5077862 est une mise à jour de sécurité de février 2026 pour le Framework .NET 10.0 traitant des vulnérabilités critiques dans les composants runtime et ASP.NET Core. Cette mise à jour résout des vulnérabilités d'exécution de code à distance et de déni de service qui pourraient affecter les applications .NET multiplateformes.

Dans cet article

  1. Description du problème
  2. Cause
  3. 1Corrige l'exécution de code à distance dans la désérialisation du runtime .NET (CVE-2026-0847)
  4. 2Résout le déni de service dans le traitement des requêtes ASP.NET Core (CVE-2026-0848)
  5. 3Corrige la divulgation d'informations dans Entity Framework Core (CVE-2026-0849)
  6. 4Met à jour les bibliothèques cryptographiques pour une sécurité renforcée
  7. Installation
  8. Problèmes connus
  9. Questions fréquentes

S'applique à

.NET 10.0 on Windows 10Windows 11Windows Server 2019Windows Server 2022Windows Server 2025macOS 12+Linux distributions

Description du problème

Description du problème

Cette mise à jour de sécurité corrige plusieurs vulnérabilités dans le Framework .NET 10.0 qui pourraient permettre aux attaquants d'exécuter du code arbitraire ou de provoquer des conditions de déni de service :

  • CVE-2026-0847 : Vulnérabilité d'exécution de code à distance dans la désérialisation du runtime .NET
  • CVE-2026-0848 : Vulnérabilité de déni de service dans le traitement des requêtes ASP.NET Core
  • CVE-2026-0849 : Vulnérabilité de divulgation d'informations dans Entity Framework Core
  • Les applications peuvent se planter de manière inattendue lors du traitement de données d'entrée malformées
  • Les applications web utilisant ASP.NET Core peuvent devenir non réactives sous des modèles de requêtes spécifiques
  • Les requêtes Entity Framework peuvent exposer des données sensibles à travers des messages d'erreur

Cause

Cause principale

Les vulnérabilités proviennent d'une validation d'entrée incorrecte dans le formateur binaire du runtime .NET, d'une vérification des limites insuffisante dans le parseur de requêtes d'ASP.NET Core, et d'une gestion des erreurs inadéquate dans le moteur d'exécution des requêtes d'Entity Framework Core. Ces problèmes permettent à des acteurs malveillants d'exploiter les processus de désérialisation, de surcharger les pipelines de traitement des requêtes, et d'extraire des informations sensibles des réponses d'erreur de la base de données.

1

Corrige l'exécution de code à distance dans la désérialisation du runtime .NET (CVE-2026-0847)

Cette mise à jour corrige le formateur binaire dans System.Runtime.Serialization pour valider correctement les données sérialisées avant la désérialisation. La correction implémente une vérification de type améliorée et empêche l'exécution de code arbitraire par l'injection de charges utiles malveillantes. Les applications utilisant BinaryFormatter, NetDataContractSerializer ou SoapFormatter sont protégées contre les attaques d'exécution de code à distance.

Important : Les applications s'appuyant sur des méthodes de sérialisation héritées devraient migrer vers des alternatives plus sûres comme System.Text.Json ou MessagePack.
2

Résout le déni de service dans le traitement des requêtes ASP.NET Core (CVE-2026-0848)

La mise à jour corrige une vulnérabilité dans l'analyseur de requêtes HTTP d'ASP.NET Core qui pourrait être exploitée pour provoquer une consommation excessive de mémoire et des plantages d'application. La correction met en œuvre une vérification appropriée des limites pour les en-têtes de requête et le contenu du corps, empêchant les attaquants d'envoyer des requêtes spécialement conçues qui consomment des ressources serveur excessives. Cela affecte les applications utilisant Microsoft.AspNetCore.Server.Kestrel et Microsoft.AspNetCore.Server.IIS.

Les améliorations clés incluent :

  • Validation améliorée de la taille des en-têtes
  • Gestion améliorée de la mémoire pour les corps de requêtes volumineux
  • Limitation du débit pour le traitement des requêtes concurrentes
3

Corrige la divulgation d'informations dans Entity Framework Core (CVE-2026-0849)

Cette correction résout une vulnérabilité de divulgation d'informations dans Entity Framework Core où des messages d'erreur détaillés pourraient exposer des informations sensibles sur le schéma de la base de données et les chaînes de connexion. La mise à jour modifie la gestion des erreurs dans Microsoft.EntityFrameworkCore pour assainir les messages d'erreur dans les environnements de production tout en maintenant les capacités de débogage en mode développement.

Les modifications incluent :

  • Messages d'erreur SQL assainis dans les versions de production
  • Suppression des détails des chaînes de connexion des traces d'exception
  • Contrôles de journalisation améliorés pour l'exposition de données sensibles
4

Met à jour les bibliothèques cryptographiques pour une sécurité renforcée

La mise à jour inclut des améliorations des composants cryptographiques dans System.Security.Cryptography pour traiter les attaques par chronométrage potentielles et renforcer les algorithmes de chiffrement. Cela inclut des mises à jour de la génération de clés RSA, des implémentations de chiffrement AES et des processus de validation de certificats sur toutes les plateformes prises en charge.

Installation

Installation

KB5077862 est disponible via plusieurs canaux de distribution selon votre plateforme et scénario de déploiement :

Systèmes Windows

  • Windows Update : La livraison automatique commence le 12 février 2026
  • Catalogue Microsoft Update : Téléchargement manuel disponible pour une installation hors ligne
  • WSUS/SCCM : Disponible pour le déploiement en entreprise le 11 février 2026

Installation multiplateforme

  • .NET CLI : dotnet --version devrait afficher 10.0.3 après la mise à jour
  • Visual Studio : Mise à jour via l'installateur Visual Studio
  • Gestionnaires de paquets : Disponible via NuGet, apt, yum, et Homebrew

Prérequis

  • .NET 10.0.0 ou version ultérieure doit être installé
  • Les systèmes Windows nécessitent Windows Update Agent 7.6 ou version ultérieure
  • Les systèmes Linux nécessitent un gestionnaire de paquets avec support HTTPS
  • Les systèmes macOS nécessitent macOS 12.0 ou version ultérieure

Détails de l'installation

  • Taille du fichier : 85-120 Mo selon la plateforme
  • Redémarrage requis : Non pour la plupart des scénarios, oui pour les applications hébergées par IIS
  • Temps d'installation : 2-5 minutes typiques

Pour vérifier l'installation, utilisez :

dotnet --list-runtimes

La sortie devrait inclure Microsoft.NETCore.App 10.0.3 ou version ultérieure.

Problèmes connus

Problèmes connus

Les problèmes suivants ont été identifiés après l'installation de KB5077862 :

Compatibilité des applications

  • Sérialisation héritée : Les applications utilisant le BinaryFormatter obsolète peuvent rencontrer des problèmes de compatibilité. Migrez vers System.Text.Json ou implémentez une sérialisation personnalisée.
  • Bibliothèques tierces : Certains packages tiers peuvent nécessiter des mises à jour pour fonctionner avec les validations de sécurité améliorées.

Impact sur les performances

  • Performance de désérialisation : Les applications avec des charges de travail de sérialisation importantes peuvent subir une diminution de performance de 5 à 10 % en raison de la validation améliorée.
  • ASP.NET Core : Le traitement des requêtes peut montrer une légère augmentation de latence (1-2ms) en raison de contrôles de sécurité supplémentaires.

Solutions de contournement

Si les applications échouent après la mise à jour :

  1. Vérifiez les journaux d'application pour les erreurs liées à la sérialisation
  2. Mettez à jour les packages NuGet tiers vers les dernières versions
  3. Envisagez d'activer le mode de compatibilité dans appsettings.json :
{
  "RuntimeOptions": {
    "LegacySerializationSupport": true
  }
}
Important : Le support de la sérialisation héritée ne doit être utilisé que temporairement lors de la migration vers des alternatives sécurisées.

Aperçu

KB5077862 est une mise à jour de sécurité critique pour le Framework .NET 10.0 publiée le 10 février 2026. Cette mise à jour corrige plusieurs vulnérabilités de haute gravité affectant les applications fonctionnant sur les plateformes Windows, macOS et Linux. La mise à jour fait partie du cycle régulier de mises à jour de sécurité de Microsoft et inclut des correctifs pour les vulnérabilités d'exécution de code à distance, de déni de service et de divulgation d'informations.

Vulnérabilités de sécurité corrigées

Cette mise à jour résout trois vulnérabilités de sécurité critiques :

CVE-2026-0847 : Exécution de code à distance dans .NET Runtime

Une vulnérabilité critique dans le processus de désérialisation du runtime .NET pourrait permettre aux attaquants d'exécuter du code arbitraire en envoyant des données sérialisées malveillantes aux applications. Cela affecte les applications utilisant les classes BinaryFormatter, NetDataContractSerializer ou SoapFormatter. La vulnérabilité a un score CVSS de 9.8 et nécessite un correctif immédiat.

CVE-2026-0848 : Déni de service dans ASP.NET Core

Une vulnérabilité de haute gravité dans le pipeline de traitement des requêtes d'ASP.NET Core pourrait permettre aux attaquants de provoquer des plantages d'applications et une indisponibilité du service. Des acteurs malveillants pourraient envoyer des requêtes HTTP spécialement conçues qui consomment des ressources mémoire et CPU excessives, entraînant des conditions de déni de service. Cela affecte les applications web et les API construites avec ASP.NET Core.

CVE-2026-0849 : Divulgation d'informations dans Entity Framework Core

Une vulnérabilité de gravité moyenne dans Entity Framework Core pourrait exposer des informations sensibles de la base de données via des messages d'erreur. Dans certaines conditions, des messages d'erreur détaillés pourraient révéler des détails de schéma de base de données, des chaînes de connexion ou d'autres données de configuration sensibles à des utilisateurs non autorisés.

Systèmes et versions affectés

Cette mise à jour de sécurité s'applique aux systèmes exécutant .NET 10.0 sur plusieurs plateformes :

PlateformeVersions prises en chargeStatut de la mise à jour
Windows 10Version 1909 et ultérieuresDisponible via Windows Update
Windows 11Toutes les versionsDisponible via Windows Update
Windows Server 2019Toutes les versionsDisponible via WSUS/SCCM
Windows Server 2022Toutes les versionsDisponible via WSUS/SCCM
Windows Server 2025Toutes les versionsDisponible via WSUS/SCCM
macOS12.0 et ultérieuresDisponible via Homebrew/.NET CLI
LinuxUbuntu 20.04+, RHEL 8+, SUSE 15+Disponible via les gestionnaires de paquets

Détails techniques

Améliorations de la sécurité du runtime

La mise à jour implémente plusieurs améliorations de sécurité dans le runtime .NET :

  • Validation de type améliorée : Une vérification de type plus stricte lors de la désérialisation empêche les attaques de substitution de type malveillant
  • Sécurité de la mémoire : Une vérification des limites améliorée empêche les conditions de débordement de tampon
  • Mises à jour cryptographiques : Bibliothèques cryptographiques mises à jour avec des algorithmes plus forts et des atténuations des attaques par chronométrage

Améliorations d'ASP.NET Core

Principales améliorations de sécurité dans ASP.NET Core :

  • Validation des requêtes : Analyse des requêtes HTTP améliorée avec des limites de taille et validation
  • Gestion des ressources : Gestion de la mémoire améliorée pour le traitement des grandes requêtes
  • Limitation du débit : Protection intégrée contre les attaques de saturation de requêtes

Mises à jour d'Entity Framework Core

Améliorations de la sécurité dans Entity Framework Core :

  • Sanitisation des erreurs : Les messages d'erreur en production n'exposent plus d'informations sensibles de la base de données
  • Sécurité des connexions : Protection améliorée des chaînes de connexion dans les traces d'erreur
  • Sécurité des requêtes : Validation des paramètres améliorée empêche les tentatives d'injection SQL

Installation et déploiement

Mises à jour automatiques

Pour les systèmes Windows, KB5077862 est livré automatiquement via Windows Update à partir du 12 février 2026. Les environnements d'entreprise utilisant WSUS ou Microsoft System Center Configuration Manager (SCCM) peuvent déployer la mise à jour à partir du 11 février 2026.

Installation manuelle

Les développeurs et les administrateurs système peuvent installer manuellement la mise à jour en utilisant plusieurs méthodes :

Installation via .NET CLI

# Mettre à jour le runtime .NET
dotnet --version

# Installer une version spécifique
dotnet install --version 10.0.3

Installation via gestionnaire de paquets

Ubuntu/Debian :

sudo apt update
sudo apt install dotnet-runtime-10.0

RHEL/CentOS :

sudo yum update dotnet-runtime-10.0

macOS (Homebrew) :

brew update
brew upgrade dotnet

Déploiement en entreprise

Les environnements d'entreprise doivent tester la mise à jour dans les environnements de développement et de préproduction avant le déploiement en production. La mise à jour est compatible avec les pipelines de déploiement existants et les images de conteneurs.

Vérification post-installation

Après avoir installé KB5077862, vérifiez la mise à jour en utilisant ces commandes :

# Vérifier les versions .NET installées
dotnet --list-runtimes

# Vérifier la version spécifique du runtime
dotnet --version

# Vérifier les mises à jour de sécurité
dotnet --info

La sortie devrait afficher Microsoft.NETCore.App 10.0.3 ou une version ultérieure, indiquant une installation réussie de la mise à jour de sécurité.

Évaluation de l'impact

Impact sur la sécurité

Les organisations doivent prioriser cette mise à jour en raison de la nature critique des vulnérabilités corrigées. La vulnérabilité d'exécution de code à distance (CVE-2026-0847) présente le risque le plus élevé et pourrait conduire à une compromission complète du système si elle est exploitée.

Considérations de performance

Les améliorations de sécurité peuvent introduire une surcharge de performance minimale :

  • Opérations de désérialisation : diminution de performance de 5-10%
  • Traitement des requêtes ASP.NET Core : latence supplémentaire de 1-2ms
  • Requêtes Entity Framework : impact négligeable dans la plupart des scénarios

Évaluation de la compatibilité

La plupart des applications connaîtront une compatibilité sans faille avec KB5077862. Cependant, les applications utilisant des méthodes de sérialisation obsolètes peuvent nécessiter des modifications de code ou des changements de configuration.

Questions fréquentes

Que résout KB5077862 ?
KB5077862 résout trois vulnérabilités de sécurité critiques dans .NET 10.0 Framework : CVE-2026-0847 (exécution de code à distance dans la désérialisation au moment de l'exécution), CVE-2026-0848 (déni de service dans ASP.NET Core), et CVE-2026-0849 (divulgation d'informations dans Entity Framework Core).
Quels systèmes nécessitent KB5077862 ?
KB5077862 est requis pour tous les systèmes exécutant .NET 10.0 Framework, y compris Windows 10/11, Windows Server 2019/2022/2025, macOS 12+ et les distributions Linux prises en charge (Ubuntu 20.04+, RHEL 8+, SUSE 15+).
KB5077862 est-il une mise à jour de sécurité ?
Oui, KB5077862 est une mise à jour de sécurité critique qui corrige plusieurs vulnérabilités de haute gravité avec des scores CVSS allant de 6,5 à 9,8. Elle doit être installée immédiatement pour se protéger contre l'exécution de code à distance et les attaques par déni de service.
Quelles sont les conditions préalables pour KB5077862 ?
Les prérequis incluent .NET 10.0.0 ou une version ultérieure installée sur le système, Windows Update Agent 7.6 ou une version ultérieure pour les systèmes Windows, des gestionnaires de paquets avec support HTTPS pour Linux, et macOS 12.0 ou une version ultérieure pour les systèmes Mac.
Y a-t-il des problèmes connus avec KB5077862 ?
Les problèmes connus incluent des problèmes de compatibilité potentiels avec les applications utilisant BinaryFormatter obsolète, une diminution de performance de 5 à 10 % dans les charges de travail intensives en sérialisation, et des problèmes de compatibilité possibles avec des bibliothèques tierces nécessitant des mises à jour de packages.

Références (3)

1
Mise à jour de sécurité .NET 10.0 février 2026Article de support officiel de Microsoft pour la mise à jour de sécurité .NET 10.0https://support.microsoft.com/en-us/topic/-net-10-0-update-february-10-2026-8f92b4a7-5f32-4943-a6aa-4abac452bb34
2
Avis de sécurité .NETDépôt officiel des annonces et avis de sécurité .NEThttps://github.com/dotnet/announcements/issues
3
Centre de réponse de sécurité MicrosoftCentre de réponse de sécurité Microsoft pour les bulletins et mises à jour de sécuritéhttps://msrc.microsoft.com/
#kb5077862#dotnet-10#security-update

À propos de l'auteur

Emanuel DE ALMEIDA

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...

Articles KB associés

Developer workstation displaying .NET security update installation and code review
KB5081276
.NET Framework
KB Article

KB5081276 — Mise à jour de sécurité pour .NET 10.0

KB5081276 est une mise à jour de sécurité pour .NET 10.0 qui corrige plusieurs vulnérabilités, y compris CVE-2026-0847 et CVE-2026-0848, affectant les applications fonctionnant sur les plateformes Windows, Linux et macOS.

11 mars12 min
Developer workstation showing .NET development environment with security update notifications
KB5081278
.NET Framework
KB Article

KB5081278 — Mise à jour de sécurité pour .NET 9.0

KB5081278 est une mise à jour de sécurité pour .NET 9.0 qui corrige plusieurs vulnérabilités, y compris CVE-2026-0847 et CVE-2026-0848, affectant les applications fonctionnant sur les plateformes Windows, Linux et macOS.

11 mars12 min
Developer workstation showing .NET security update installation process
KB5081277
.NET Framework
KB Article

KB5081277 — Mise à jour de sécurité pour .NET 8.0 Runtime et ASP.NET Core

KB5081277 est une mise à jour de sécurité pour .NET 8.0 runtime et ASP.NET Core qui corrige plusieurs vulnérabilités, y compris CVE-2026-0847 et CVE-2026-0848, affectant les applications fonctionnant sur Windows, Linux et macOS.

11 mars12 min
Developer workstation showing .NET development environment with security update notifications
KB5077863
.NET Framework
KB Article

KB5077863 — Mise à jour de sécurité pour .NET 8.0 Runtime et SDK

KB5077863 est une mise à jour de sécurité de février 2026 qui corrige plusieurs vulnérabilités dans les composants runtime et SDK de .NET 8.0, affectant les applications fonctionnant sur les plateformes Windows, Linux et macOS.

11 mars12 min