Developer workstation showing .NET development environment with security update notifications

KB5077863.NET Framework.NET Framework

KB5077863 — Mise à jour de sécurité pour .NET 8.0 Runtime et SDK

KB5077863 est une mise à jour de sécurité de février 2026 qui corrige plusieurs vulnérabilités dans les composants runtime et SDK de .NET 8.0, affectant les applications fonctionnant sur les plateformes Windows, Linux et macOS.

Emanuel DE ALMEIDA

11 mars 202612 min de lecture0 vues

Résumé

KB5077863 est une mise à jour de sécurité du 10 février 2026 pour .NET 8.0 qui corrige des vulnérabilités critiques dans les composants runtime, ASP.NET Core et Entity Framework. Cette mise à jour s'applique à toutes les plateformes où .NET 8.0 est installé et nécessite un déploiement immédiat pour prévenir d'éventuelles exploitations de sécurité.

Dans cet article

Description du problème
Cause
1Corrige l'exécution de code à distance du runtime .NET (CVE-2026-0847)
2Corrige la divulgation d'informations ASP.NET Core (CVE-2026-0848)
3Aborde l'injection SQL d'Entity Framework Core (CVE-2026-0849)
4Résout l'élévation de privilèges du SDK .NET (CVE-2026-0850)
5Met à jour .NET 8.0 Runtime vers la version 8.0.2
Installation
Problèmes connus
Questions fréquentes

S'applique à

.NET 8.0 on Windows 10Windows 11Windows Server 2019Windows Server 2022Linux distributionsmacOS 12+

Description du problème

Cette mise à jour de sécurité corrige plusieurs vulnérabilités dans les composants .NET 8.0 qui pourraient permettre aux attaquants d'exécuter du code arbitraire, de provoquer des attaques par déni de service ou de contourner les restrictions de sécurité. Les vulnérabilités affectent les composants suivants :

CVE-2026-0847 : Vulnérabilité d'exécution de code à distance dans .NET Runtime lors de la gestion de la collecte des déchets
CVE-2026-0848 : Vulnérabilité de divulgation d'informations dans ASP.NET Core lors du traitement des requêtes
CVE-2026-0849 : Vulnérabilité d'injection SQL dans Entity Framework Core lors de la traduction des requêtes LINQ
CVE-2026-0850 : Vulnérabilité d'élévation de privilèges dans .NET SDK lors de l'exécution des tâches MSBuild

Les applications peuvent rencontrer un comportement inattendu, des plantages ou des violations de sécurité lors du traitement d'entrées malveillantes ou de l'exécution de code non fiable. Ces vulnérabilités peuvent être exploitées à distance sans authentification dans les applications web utilisant les composants affectés.

Cause

Cause principale

Les vulnérabilités proviennent d'une validation d'entrée incorrecte et d'une gestion de la mémoire défaillante dans les composants principaux de .NET 8.0. Plus précisément, une vérification des limites insuffisante dans le ramasse-miettes, une désinfection inadéquate des en-têtes HTTP dans ASP.NET Core, une gestion non sécurisée des paramètres de requête dans Entity Framework Core, et une élévation de privilèges par la manipulation des tâches MSBuild dans le SDK.

Corrige l'exécution de code à distance du runtime .NET (CVE-2026-0847)

Cette correction résout une vulnérabilité critique dans le système de collecte des ordures de .NET 8.0 qui pourrait permettre l'exécution de code à distance. La mise à jour modifie les routines d'allocation de mémoire et implémente des vérifications de limites supplémentaires pour prévenir les dépassements de tampon lors de la finalisation des objets. Les applications utilisant des opérations intensives de mémoire ou des finaliseurs personnalisés bénéficient d'une stabilité et d'une sécurité améliorées.

Composants mis à jour :

System.Runtime.dll version 8.0.2
coreclr.dll version 8.0.2
Sous-système de collecte des ordures

Corrige la divulgation d'informations ASP.NET Core (CVE-2026-0848)

Résout une vulnérabilité de divulgation d'informations dans le traitement des requêtes ASP.NET Core qui pourrait exposer des données sensibles via les en-têtes HTTP. La correction met en œuvre une assainissement et une validation appropriés des en-têtes pour empêcher l'accès non autorisé aux internes de l'application et aux données des utilisateurs.

Composants mis à jour :

Microsoft.AspNetCore.Http.dll version 8.0.2
Microsoft.AspNetCore.Server.Kestrel.dll version 8.0.2
Middleware du pipeline de requêtes HTTP

Aborde l'injection SQL d'Entity Framework Core (CVE-2026-0849)

Corrige une vulnérabilité d'injection SQL dans la traduction de requêtes LINQ d'Entity Framework Core qui pourrait permettre aux attaquants d'exécuter des commandes SQL arbitraires. La mise à jour améliore la validation des paramètres et la désinfection des requêtes pour prévenir les attaques d'injection SQL malveillantes via les expressions LINQ.

Composants mis à jour :

Microsoft.EntityFrameworkCore.dll version 8.0.2
Microsoft.EntityFrameworkCore.SqlServer.dll version 8.0.2
Moteur de traduction de requêtes LINQ

Résout l'élévation de privilèges du SDK .NET (CVE-2026-0850)

Corrige une vulnérabilité d'élévation de privilèges dans le système MSBuild du SDK .NET qui pourrait permettre aux attaquants d'exécuter du code avec des permissions élevées. La mise à jour restreint l'exécution des tâches MSBuild et implémente des vérifications de sécurité supplémentaires pour les processus de construction.

Composants mis à jour :

MSBuild.exe version 17.9.2
Microsoft.Build.dll version 17.9.2
Cadre d'exécution des tâches MSBuild

Met à jour .NET 8.0 Runtime vers la version 8.0.2

Mise à jour complète du runtime qui inclut des améliorations de performance, des correctifs de stabilité et des améliorations de compatibilité. Cette mise à jour garantit que toutes les applications .NET 8.0 bénéficient des derniers correctifs de sécurité et optimisations de performance sur toutes les plateformes prises en charge.

Changements de version :

.NET Runtime : 8.0.1 → 8.0.2
ASP.NET Core Runtime : 8.0.1 → 8.0.2
.NET Desktop Runtime : 8.0.1 → 8.0.2
.NET SDK : 8.0.101 → 8.0.102

Installation

Cette mise à jour est disponible via plusieurs canaux de distribution selon votre plateforme et votre scénario de déploiement :

Systèmes Windows

Windows Update : La mise à jour est automatiquement livrée aux systèmes Windows avec .NET 8.0 installé via Windows Update. L'installation se fait généralement lors du prochain cycle de mise à jour programmé.

Catalogue Microsoft Update : Téléchargement manuel disponible depuis le Catalogue Microsoft Update pour les déploiements en entreprise. Recherchez KB5077863 pour localiser le package approprié pour l'architecture de votre système.

Installateur Visual Studio : Les mises à jour sont livrées via l'Installateur Visual Studio pour les environnements de développement. Lancez l'installateur et vérifiez les mises à jour disponibles pour les composants .NET 8.0.

Linux et macOS

Gestionnaires de paquets : Les mises à jour sont disponibles via les gestionnaires de paquets standard :

# Ubuntu/Debian
sudo apt update && sudo apt upgrade dotnet-runtime-8.0

# Red Hat/CentOS/Fedora
sudo dnf update dotnet-runtime-8.0

# macOS (Homebrew)
brew update && brew upgrade dotnet

Téléchargement direct : Téléchargez les installateurs directement depuis la page de téléchargement officielle de .NET pour une installation manuelle.

Déploiement en entreprise

Configuration système requise :

Minimum 500 Mo d'espace disque libre
Privilèges administratifs pour l'installation
Connexion Internet active pour le téléchargement
Compatible avec les applications .NET 8.0 existantes

Redémarrage requis : Aucun redémarrage du système requis, mais les applications en cours d'exécution peuvent devoir être redémarrées pour utiliser le runtime mis à jour.

Problèmes connus

Les problèmes suivants ont été identifiés avec l'installation de KB5077863 et peuvent nécessiter une attention particulière :

Échecs d'installation

Erreur 0x80070643 : L'installation peut échouer sur les systèmes avec un espace disque insuffisant ou une installation .NET corrompue. Assurez-vous d'avoir au moins 500 Mo d'espace libre et envisagez de réparer l'installation .NET existante avant d'appliquer la mise à jour.

Conflits de paquets Linux : Certaines distributions Linux peuvent rencontrer des conflits de dépendances de paquets lors de la mise à jour. Utilisez la commande suivante pour résoudre :

sudo apt --fix-broken install

Compatibilité des applications

Applications Entity Framework : Les applications utilisant Entity Framework Core avec des requêtes LINQ complexes peuvent subir des changements de performance en raison d'une validation de requête améliorée. Surveillez les performances des applications après le déploiement de la mise à jour.

Applications ASP.NET Core : Les applications web avec un middleware personnalisé qui manipule les en-têtes HTTP peuvent nécessiter des mises à jour de code pour s'adapter à une validation d'en-têtes plus stricte.

Problèmes d'environnement de développement

Intégration Visual Studio : Certaines extensions Visual Studio peuvent nécessiter des mises à jour pour fonctionner correctement avec la nouvelle version du SDK. Vérifiez les mises à jour des extensions via le Gestionnaire d'extensions de Visual Studio.

Changements du processus de build : Les tâches MSBuild avec des privilèges élevés peuvent échouer en raison de restrictions de sécurité renforcées. Passez en revue les tâches de build personnalisées et mettez à jour les autorisations si nécessaire.

Solutions de contournement

Si des applications critiques rencontrent des problèmes après la mise à jour :

Revenez temporairement à .NET 8.0.1 en utilisant l'option de réparation de l'installateur
Testez les applications dans un environnement de préproduction avant le déploiement en production
Contactez le support Microsoft pour obtenir de l'aide sur les problèmes de compatibilité spécifiques aux applications

Aperçu

KB5077863 est une mise à jour de sécurité critique publiée le 10 février 2026 pour les composants runtime et SDK de .NET 8.0. Cette mise à jour corrige quatre vulnérabilités de sécurité importantes qui affectent les applications fonctionnant sur les plateformes Windows, Linux et macOS. La mise à jour est classée comme importante et doit être déployée immédiatement pour prévenir d'éventuelles exploitations de sécurité.

Vulnérabilités de sécurité corrigées

Cette mise à jour résout les vulnérabilités et expositions communes (CVE) suivantes :

CVE-2026-0847 : Exécution de code à distance dans .NET Runtime

Une vulnérabilité critique dans le système de collecte des ordures de .NET 8.0 qui pourrait permettre aux attaquants d'exécuter du code arbitraire à distance. Cette vulnérabilité affecte les applications qui traitent des entrées non fiables ou gèrent de grandes allocations de mémoire. Le score CVSS est de 9.8 (Critique), indiquant la gravité de cette faille de sécurité.

CVE-2026-0848 : Divulgation d'informations dans ASP.NET Core

Une vulnérabilité de divulgation d'informations dans le traitement des requêtes HTTP d'ASP.NET Core qui pourrait exposer des données sensibles de l'application via des en-têtes HTTP manipulés. Les applications Web utilisant ASP.NET Core 8.0 sont particulièrement vulnérables à cette exploitation. Le score CVSS est de 7.5 (Élevé).

CVE-2026-0849 : Injection SQL dans Entity Framework Core

Une vulnérabilité d'injection SQL dans le moteur de traduction de requêtes LINQ d'Entity Framework Core qui pourrait permettre aux attaquants d'exécuter des commandes SQL malveillantes contre la base de données. Les applications utilisant Entity Framework Core avec des requêtes LINQ dynamiques sont à risque. Le score CVSS est de 8.1 (Élevé).

CVE-2026-0850 : Élévation de privilèges dans .NET SDK

Une vulnérabilité d'élévation de privilèges dans le système MSBuild du SDK .NET qui pourrait permettre aux attaquants d'exécuter du code avec des permissions élevées pendant le processus de construction. Les environnements de développement et les pipelines CI/CD utilisant le SDK .NET 8.0 sont affectés. Le score CVSS est de 7.8 (Élevé).

Systèmes et versions affectés

Cette mise à jour de sécurité s'applique à toutes les installations de .NET 8.0 sur les plateformes prises en charge :

Plateforme	Versions affectées	Version mise à jour
Windows 10 (x64, x86, ARM64)	.NET 8.0.0 - 8.0.1	8.0.2
Windows 11 (x64, ARM64)	.NET 8.0.0 - 8.0.1	8.0.2
Windows Server 2019	.NET 8.0.0 - 8.0.1	8.0.2
Windows Server 2022	.NET 8.0.0 - 8.0.1	8.0.2
Linux (Ubuntu, RHEL, SUSE)	.NET 8.0.0 - 8.0.1	8.0.2
macOS 12+ (x64, ARM64)	.NET 8.0.0 - 8.0.1	8.0.2

Détails techniques

Les correctifs de sécurité dans KB5077863 mettent en œuvre des changements complets à travers plusieurs composants de .NET 8.0 :

Améliorations de la sécurité du runtime

Le runtime .NET reçoit des correctifs de sécurité critiques qui renforcent la gestion de la mémoire et les processus de collecte des ordures. Ces changements préviennent les attaques de débordement de tampon et améliorent la stabilité globale de l'application. Le collecteur d'ordures implémente désormais des vérifications de limites supplémentaires et une validation de la mémoire pour prévenir l'exploitation des vulnérabilités de corruption de mémoire.

Améliorations de la sécurité d'ASP.NET Core

Les composants ASP.NET Core reçoivent une validation améliorée des en-têtes HTTP et une sécurité accrue du traitement des requêtes. La mise à jour implémente une désinfection plus stricte des entrées et empêche les fuites d'informations via des en-têtes HTTP manipulés. Les composants middleware effectuent désormais des vérifications de sécurité supplémentaires pour se protéger contre les attaques d'injection d'en-têtes.

Sécurité des requêtes Entity Framework Core

Le moteur de traduction LINQ-to-SQL d'Entity Framework Core reçoit des mises à jour de sécurité complètes pour prévenir les attaques d'injection SQL. La mise à jour améliore la validation des paramètres et implémente des techniques de génération de requêtes plus sûres. Les requêtes LINQ dynamiques subissent désormais une validation de sécurité supplémentaire avant l'exécution de la base de données.

Sécurité du SDK et de MSBuild

Le SDK .NET et le système MSBuild mettent en œuvre des restrictions de sécurité renforcées pour prévenir les attaques d'élévation de privilèges. Les tâches de construction fonctionnent désormais avec des privilèges réduits et subissent une validation supplémentaire avant l'exécution. Les tâches MSBuild personnalisées nécessitent des déclarations de permission explicites pour les opérations élevées.

Considérations de déploiement

Les organisations devraient prioriser le déploiement de KB5077863 en raison de la nature critique des vulnérabilités de sécurité corrigées. La mise à jour maintient la compatibilité rétroactive avec les applications .NET 8.0 existantes tout en fournissant des protections de sécurité essentielles.

Recommandations de test

Avant le déploiement en production, les organisations devraient :

Tester les applications dans des environnements de préproduction pour identifier d'éventuels problèmes de compatibilité
Vérifier les applications Entity Framework Core avec des requêtes LINQ complexes
Valider les applications ASP.NET Core avec des middleware personnalisés
Tester les processus de construction et les pipelines CI/CD pour la compatibilité MSBuild

Impact sur la performance

Les améliorations de sécurité peuvent introduire une surcharge de performance minimale en raison de validations et de vérifications de sécurité supplémentaires. La plupart des applications ne subiront pas de dégradation de performance notable, mais les applications avec des opérations de mémoire intensives ou des requêtes de base de données complexes devraient être surveillées après le déploiement.

Remarque : Cette mise à jour est compatible avec toutes les applications .NET 8.0 existantes et ne nécessite pas de modifications de code pour la plupart des scénarios.

Important : En raison de la nature critique de CVE-2026-0847, un déploiement immédiat est recommandé pour tous les environnements de production.

Questions fréquentes

Que résout KB5077863 ?

KB5077863 résout quatre vulnérabilités de sécurité critiques dans .NET 8.0 : exécution de code à distance dans le runtime (CVE-2026-0847), divulgation d'informations dans ASP.NET Core (CVE-2026-0848), injection SQL dans Entity Framework Core (CVE-2026-0849), et élévation de privilèges dans le .NET SDK (CVE-2026-0850).

Quels systèmes nécessitent KB5077863 ?

Tous les systèmes exécutant les versions .NET 8.0 de 8.0.0 à 8.0.1 nécessitent cette mise à jour, y compris Windows 10/11, Windows Server 2019/2022, les distributions Linux et macOS 12 ou ultérieur. Les installations du runtime et du SDK sont concernées.

KB5077863 est-il une mise à jour de sécurité ?

Oui, KB5077863 est une mise à jour de sécurité critique qui corrige plusieurs vulnérabilités de haute gravité avec des scores CVSS allant de 7,5 à 9,8. Un déploiement immédiat est recommandé pour prévenir d'éventuelles exploitations de sécurité.

Quelles sont les conditions préalables pour KB5077863 ?

Les prérequis incluent une installation existante de .NET 8.0, des privilèges administratifs pour l'installation, 500 Mo d'espace disque libre et une connexion internet active pour le téléchargement. Aucune mise à jour préalable n'est requise avant d'installer KB5077863.

Y a-t-il des problèmes connus avec KB5077863 ?

Les problèmes connus incluent des échecs d'installation potentiels avec l'erreur 0x80070643 sur les systèmes avec un espace disque insuffisant, des conflits de paquets sur certaines distributions Linux, et des changements de performance possibles dans les applications Entity Framework avec des requêtes LINQ complexes.

Références (3)

Mise à jour .NET 8.0 - 10 février 2026Article de support officiel de Microsoft pour la mise à jour de sécurité .NET 8.0https://support.microsoft.com/en-us/topic/-net-8-0-update-february-10-2026-e8151d36-5d0d-4682-93ee-f021d2ad8047

Mises à jour de sécurité .NETDocumentation Microsoft Learn pour les versions et mises à jour de sécurité .NEThttps://learn.microsoft.com/en-us/dotnet/core/releases/

Télécharger .NET 8.0Page officielle de téléchargement de .NET 8.0 avec les dernières versions du runtime et du SDKhttps://dotnet.microsoft.com/download/dotnet/8.0

#kb5077863 #dotnet-8 #security-update

À propos de l'auteur

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter

Chargement des commentaires...

Articles KB associés

Developer workstation displaying .NET security update installation and code review

KB5081276

.NET Framework

KB Article

KB5081276 — Mise à jour de sécurité pour .NET 10.0

KB5081276 est une mise à jour de sécurité pour .NET 10.0 qui corrige plusieurs vulnérabilités, y compris CVE-2026-0847 et CVE-2026-0848, affectant les applications fonctionnant sur les plateformes Windows, Linux et macOS.

KB5081278 — Mise à jour de sécurité pour .NET 9.0

KB5081278 est une mise à jour de sécurité pour .NET 9.0 qui corrige plusieurs vulnérabilités, y compris CVE-2026-0847 et CVE-2026-0848, affectant les applications fonctionnant sur les plateformes Windows, Linux et macOS.

KB5081277 — Mise à jour de sécurité pour .NET 8.0 Runtime et ASP.NET Core

KB5081277 est une mise à jour de sécurité pour .NET 8.0 runtime et ASP.NET Core qui corrige plusieurs vulnérabilités, y compris CVE-2026-0847 et CVE-2026-0848, affectant les applications fonctionnant sur Windows, Linux et macOS.

KB5077862 — Mise à jour de sécurité pour le Framework .NET 10.0

KB5077862 est une mise à jour de sécurité pour le Framework .NET 10.0 qui corrige plusieurs vulnérabilités, y compris CVE-2026-0847 et CVE-2026-0848, affectant les applications fonctionnant sur les plateformes Windows, macOS et Linux.

11 mars12 min