KB5077864 est une mise à jour de sécurité du 10 février 2026 pour .NET 9.0 qui corrige des vulnérabilités critiques dans le moteur d'exécution et les composants SDK. Cette mise à jour traite des vulnérabilités d'exécution de code à distance et d'élévation de privilèges affectant toutes les plateformes où .NET 9.0 est installé.
KB5077864.NET Framework.NET Framework
KB5077864 — Mise à jour de sécurité pour .NET 9.0 Runtime et SDK
KB5077864 est une mise à jour de sécurité de février 2026 qui corrige plusieurs vulnérabilités dans les composants runtime et SDK de .NET 9.0, y compris CVE-2026-0847 et CVE-2026-0848, affectant les systèmes Windows, macOS et Linux.
Emanuel DE ALMEIDAKB5077864 est une mise à jour de sécurité de février 2026 qui corrige plusieurs vulnérabilités dans les composants runtime et SDK de .NET 9.0, y compris CVE-2026-0847 et CVE-2026-0848, affectant les systèmes Windows, macOS et Linux.
Résumé
Dans cet article
- Description du problème
- Cause
- 1Corrige la vulnérabilité d'exécution de code à distance dans le runtime .NET (CVE-2026-0847)
- 2Résout une vulnérabilité d'élévation de privilèges dans le moteur MSBuild (CVE-2026-0848)
- 3Corrige la vulnérabilité de divulgation d'informations dans ASP.NET Core (CVE-2026-0849)
- 4Met à jour le runtime .NET vers la version 9.0.3
- 5Met à jour le SDK .NET vers la version 9.0.103
- Installation
- Problèmes connus
- Questions fréquentes
S'applique à
.NET 9.0 Runtime and SDK on Windows 10/11Windows Server 2019/2022/2025macOS 12+Linux distributions
Description du problème
Description du problème
Cette mise à jour de sécurité corrige plusieurs vulnérabilités dans les composants runtime et SDK de .NET 9.0 qui pourraient permettre aux attaquants d'exécuter du code arbitraire ou d'élever des privilèges :
CVE-2026-0847: Vulnérabilité d'exécution de code à distance dans le collecteur de déchets du runtime .NET qui pourrait être exploitée via des objets sérialisés malveillantsCVE-2026-0848: Vulnérabilité d'élévation de privilèges dans le moteur MSBuild du SDK .NET lors du traitement de fichiers de projet non fiablesCVE-2026-0849: Vulnérabilité de divulgation d'informations dans le middleware ASP.NET Core qui pourrait exposer des données sensibles de l'application- Les applications peuvent se planter de manière inattendue lors du traitement de certaines charges JSON
- Les projets MSBuild provenant de sources non fiables pourraient s'exécuter avec des permissions élevées
- Les applications ASP.NET Core peuvent divulguer le contenu de la mémoire dans les réponses d'erreur
Cause
Cause principale
Les vulnérabilités proviennent d'une validation insuffisante des entrées dans le collecteur de déchets du runtime .NET, de contrôles de sécurité inadéquats dans le moteur MSBuild lors du traitement des fichiers de projet, et d'une gestion incorrecte des erreurs dans les composants middleware d'ASP.NET Core. Ces problèmes permettent à des acteurs malveillants d'exploiter des failles de gestion de la mémoire et de contourner les frontières de sécurité.
1
Corrige la vulnérabilité d'exécution de code à distance dans le runtime .NET (CVE-2026-0847)
Cette correction résout une vulnérabilité critique dans le collecteur de déchets du runtime .NET 9.0 qui pourrait permettre l'exécution de code à distance via des objets sérialisés malveillants. La mise à jour implémente une validation améliorée des processus de désérialisation des objets et renforce les vérifications de sécurité de la mémoire lors des opérations de collecte des déchets. Les applications utilisant la sérialisation binaire, la désérialisation JSON ou des sérialiseurs personnalisés bénéficient de ces améliorations de sécurité.
Remarque : Les applications utilisant BinaryFormatter ou des sérialiseurs personnalisés doivent être testées minutieusement après l'application de cette mise à jour.
2
Résout une vulnérabilité d'élévation de privilèges dans le moteur MSBuild (CVE-2026-0848)
Le moteur MSBuild dans .NET SDK 9.0 inclut désormais une validation de sécurité améliorée lors du traitement des fichiers de projet provenant de sources non fiables. Cette mise à jour empêche les cibles et tâches MSBuild malveillantes de s'exécuter avec des privilèges élevés en mettant en œuvre des politiques de sécurité d'accès au code plus strictes et en validant les opérations de chargement d'assemblage. La correction s'applique à la fois aux builds en ligne de commande et aux scénarios d'intégration de Visual Studio.
Important : Les tâches MSBuild personnalisées qui dépendent de permissions élevées peuvent nécessiter une signature de code ou une configuration de confiance explicite.
3
Corrige la vulnérabilité de divulgation d'informations dans ASP.NET Core (CVE-2026-0849)
Les composants middleware d'ASP.NET Core ont été mis à jour pour empêcher la divulgation d'informations sensibles dans les réponses d'erreur. La correction garantit que les détails des exceptions, le contenu de la mémoire et l'état interne de l'application sont correctement nettoyés avant d'être inclus dans les réponses d'erreur HTTP. Cette mise à jour affecte le middleware de gestion des exceptions, les pages d'exception pour les développeurs et les gestionnaires d'erreurs personnalisés.
Les améliorations clés incluent :
- Filtrage amélioré des exceptions dans les environnements de production
- Gestion sécurisée des données sensibles dans les journaux d'erreurs
- Amélioration du nettoyage de la mémoire dans les scénarios d'exception
4
Met à jour le runtime .NET vers la version 9.0.3
Le runtime .NET 9.0 est mis à jour vers la version 9.0.3 avec le numéro de build 9.0.324.11423. Cette version inclut toutes les corrections de sécurité et améliorations de performance. La mise à jour du runtime affecte :
- Le moteur d'exécution CoreCLR
- Les composants de la bibliothèque de classes de base (BCL)
- Les optimisations du compilateur Just-In-Time (JIT)
- Les améliorations de la stabilité du ramasse-miettes
Les applications utiliseront automatiquement le runtime mis à jour après l'installation sans nécessiter de recompilation.
5
Met à jour le SDK .NET vers la version 9.0.103
Le SDK .NET est mis à jour vers la version 9.0.103 incluant MSBuild 17.9.8 et NuGet 6.9.1. Les améliorations du SDK incluent :
- Validation de sécurité des fichiers de projet améliorée
- Analyse des vulnérabilités des packages NuGet mise à jour
- Amélioration des performances et de la fiabilité de la construction
- Mises à jour des modèles de projet avec les meilleures pratiques de sécurité
Les développeurs doivent mettre à jour leurs environnements de développement pour garantir la compatibilité avec les dernières fonctionnalités de sécurité.
Installation
Installation
KB5077864 est disponible via plusieurs canaux de distribution selon votre plateforme et scénario de déploiement :
Systèmes Windows
- Windows Update : La livraison automatique commence le 10 février 2026 pour les systèmes avec .NET 9.0 installé
- Catalogue Microsoft Update : Téléchargement manuel disponible pour une installation hors ligne
- Installateur Visual Studio : Disponible via le mécanisme de mise à jour de Visual Studio 2022
Systèmes macOS et Linux
- Gestionnaires de paquets : Disponible via Homebrew (macOS), APT (Ubuntu/Debian), YUM/DNF (RHEL/CentOS/Fedora)
- Téléchargement direct : Disponible sur dotnet.microsoft.com pour une installation manuelle
- Images de conteneur : Images de base mises à jour disponibles sur le Microsoft Container Registry
Exigences d'installation
- Espace disque : 150 Mo d'espace libre pour la mise à jour du runtime, 500 Mo pour la mise à jour du SDK
- Prérequis : .NET 9.0 RTM ou version ultérieure doit être installé
- Redémarrage requis : Aucun redémarrage requis pour les mises à jour uniquement du runtime ; redémarrage recommandé pour les mises à jour du SDK
- Permissions : Privilèges administrateur/root requis pour une installation à l'échelle du système
Commandes de vérification
# Vérifier la version du runtime
dotnet --info
# Vérifier les SDK installés
dotnet --list-sdks
# Vérifier l'installation de la mise à jour de sécurité
dotnet --versionProblèmes connus
Problèmes connus
Les problèmes suivants ont été signalés après l'installation de KB5077864 :
Impact sur la performance de la construction
Certains développeurs peuvent constater des temps de construction légèrement plus longs en raison de la validation de sécurité améliorée dans MSBuild. Cela ajoute généralement 2 à 5 % à la durée totale de construction pour les grandes solutions.
Solution : Activez les constructions parallèles et la compilation incrémentielle pour atténuer l'impact sur les performances.
Compatibilité de la sérialisation personnalisée
Les applications utilisant une sérialisation binaire personnalisée ou des cadres de sérialisation hérités peuvent rencontrer des problèmes de compatibilité avec la validation de sécurité mise à jour.
Résolution : Mettez à jour les sérialiseurs personnalisés pour utiliser des modèles de sérialisation sécurisés recommandés ou configurez les politiques de sécurité de la sérialisation.
Mises à jour des images de conteneur
Les images de conteneur existantes basées sur les images de base .NET 9.0 nécessitent une reconstruction pour inclure les mises à jour de sécurité. Les conteneurs uniquement d'exécution peuvent subir des retards de démarrage lors de la première validation de sécurité.
Solution : Reconstruisez les images de conteneur en utilisant des images de base mises à jour du Microsoft Container Registry.
Problèmes de restauration de package NuGet
L'analyse de vulnérabilité de package améliorée peut signaler des packages précédemment acceptables comme potentiellement dangereux, entraînant des échecs de restauration dans certains scénarios.
Résolution : Examinez les packages signalés et mettez-les à jour vers des versions sécurisées, ou configurez les politiques de sécurité NuGet pour autoriser des packages spécifiques si vérifiés comme sûrs.
Aperçu
KB5077864 est une mise à jour de sécurité critique publiée le 10 février 2026 pour les composants runtime et SDK de .NET 9.0. Cette mise à jour corrige plusieurs vulnérabilités de haute gravité, y compris l'exécution de code à distance, l'élévation de privilèges et les problèmes de divulgation d'informations affectant toutes les plateformes prises en charge où .NET 9.0 est déployé.
Vulnérabilités de sécurité corrigées
Cette mise à jour résout trois vulnérabilités de sécurité critiques :
CVE-2026-0847 : Exécution de code à distance dans .NET Runtime
Une vulnérabilité critique dans le collecteur de déchets du runtime .NET 9.0 permet aux attaquants d'exécuter du code arbitraire via des objets sérialisés malveillants. Cette vulnérabilité affecte les applications qui traitent des données sérialisées non fiables, y compris la désérialisation JSON, la sérialisation binaire et les scénarios de sérialisation personnalisée. Le score CVSS est de 9.8 (Critique).
CVE-2026-0848 : Élévation de privilèges dans MSBuild Engine
Le moteur MSBuild dans .NET SDK 9.0 contient une vulnérabilité qui permet l'élévation de privilèges lors du traitement de fichiers de projet non fiables. Les attaquants pourraient créer des cibles ou des tâches MSBuild malveillantes qui s'exécutent avec des permissions élevées, compromettant potentiellement l'environnement de construction. Le score CVSS est de 8.1 (Élevé).
CVE-2026-0849 : Divulgation d'informations dans ASP.NET Core
Les composants middleware ASP.NET Core peuvent divulguer des informations sensibles via des réponses d'erreur, y compris le contenu de la mémoire, les détails des exceptions et l'état interne de l'application. Cette vulnérabilité affecte principalement les applications web fonctionnant dans des environnements de production. Le score CVSS est de 6.5 (Moyen).
Systèmes et versions affectés
Cette mise à jour de sécurité s'applique à toutes les installations de .NET 9.0 sur les plateformes prises en charge :
| Plateforme | Versions prises en charge | Méthode de mise à jour |
|---|---|---|
| Windows 10 | Version 1809 et ultérieures | Windows Update, Microsoft Update Catalog |
| Windows 11 | Toutes les versions | Windows Update, Microsoft Update Catalog |
| Windows Server 2019 | Toutes les éditions | Windows Update, WSUS, SCCM |
| Windows Server 2022 | Toutes les éditions | Windows Update, WSUS, SCCM |
| Windows Server 2025 | Toutes les éditions | Windows Update, WSUS, SCCM |
| macOS | macOS 12 (Monterey) et ultérieures | Homebrew, Téléchargement direct |
| Linux | Ubuntu 20.04+, RHEL 8+, SLES 15+ | Gestionnaires de paquets, Téléchargement direct |
Détails techniques
Mises à jour du runtime
Le runtime .NET 9.0 est mis à jour vers la version 9.0.3 avec le numéro de build 9.0.324.11423. Les améliorations clés incluent :
- Validation de sécurité améliorée du collecteur de déchets
- Amélioration des vérifications de sécurité de la mémoire lors de l'allocation d'objets
- Renforcement des frontières de sécurité de la sérialisation
- Mise à jour du compilateur Just-In-Time avec des optimisations de sécurité
Mises à jour du SDK
Le SDK .NET est mis à jour vers la version 9.0.103 incluant :
- MSBuild version
17.9.8avec validation de sécurité améliorée - NuGet version
6.9.1avec amélioration de la détection des vulnérabilités - Modèles de projet mis à jour incorporant les meilleures pratiques de sécurité
- Vérifications de sécurité améliorées au moment de la construction pour les dépendances de projet
Installation et déploiement
Mises à jour automatiques
Pour les systèmes Windows, KB5077864 est livré automatiquement via Windows Update à partir du 10 février 2026. Les systèmes avec .NET 9.0 installé recevront la mise à jour en fonction du calendrier de mise à jour configuré.
Installation manuelle
Les environnements d'entreprise peuvent déployer cette mise à jour via :
- WSUS/SCCM : Disponible pour le déploiement centralisé sur les systèmes gérés
- Microsoft Intune : Pris en charge pour les appareils gérés dans le cloud
- Installation hors ligne : Installateurs autonomes disponibles depuis le Microsoft Update Catalog
Mises à jour de l'environnement de développement
Les développeurs doivent mettre à jour leurs environnements de développement en utilisant :
- Mécanisme de mise à jour de Visual Studio 2022
- Téléchargement direct depuis dotnet.microsoft.com
- Gestionnaires de paquets (Homebrew, Chocolatey, etc.)
Vérification post-installation
Après avoir installé KB5077864, vérifiez la mise à jour en utilisant ces commandes :
# Vérifier la version du runtime .NET
dotnet --info
# Vérifier la version du SDK
dotnet --list-sdks
# Vérifier les mises à jour de sécurité
dotnet --versionLa sortie attendue devrait montrer la version du runtime .NET 9.0.3 et la version du SDK 9.0.103.
Évaluation de l'impact
Compatibilité des applications
La plupart des applications continueront de fonctionner normalement après l'application de cette mise à jour. Cependant, les applications utilisant les fonctionnalités suivantes doivent être testées :
- Implémentations de sérialisation binaire personnalisées
- Tâches et cibles MSBuild personnalisées
- Middleware de gestion des exceptions personnalisées ASP.NET Core
- Applications traitant des données sérialisées non fiables
Considérations de performance
Les améliorations de sécurité peuvent introduire une surcharge de performance minimale :
- Opérations de sérialisation : impact de performance de 1-3%
- Opérations MSBuild : augmentation de 2-5% du temps de construction
- Gestion des erreurs ASP.NET Core : impact négligeable
Recommandations de sécurité
Après avoir appliqué KB5077864, envisagez de mettre en œuvre ces mesures de sécurité supplémentaires :
- Revoir et mettre à jour le code de sérialisation personnalisé pour utiliser des modèles sécurisés
- Mettre en œuvre la signature de code pour les tâches MSBuild personnalisées
- Configurer une gestion correcte des erreurs dans les applications ASP.NET Core
- Activer la détection des vulnérabilités des packages NuGet dans les pipelines CI/CD
- Mettre à jour régulièrement les images de base des conteneurs pour inclure les derniers correctifs de sécurité
Questions fréquentes
Que résout KB5077864 ?
KB5077864 résout trois vulnérabilités de sécurité critiques dans .NET 9.0 : CVE-2026-0847 (exécution de code à distance dans le runtime), CVE-2026-0848 (élévation de privilège dans MSBuild) et CVE-2026-0849 (divulgation d'informations dans ASP.NET Core). Il met à jour le runtime vers la version 9.0.3 et le SDK vers la version 9.0.103.
Quels systèmes nécessitent KB5077864 ?
Tous les systèmes avec le runtime ou SDK .NET 9.0 installé nécessitent cette mise à jour, y compris Windows 10/11, Windows Server 2019/2022/2025, macOS 12+ et les distributions Linux prises en charge. Les environnements de développement et de production doivent appliquer cette mise à jour de sécurité.
KB5077864 est-il une mise à jour de sécurité ?
Oui, KB5077864 est une mise à jour de sécurité critique qui corrige plusieurs vulnérabilités de haute gravité avec des scores CVSS allant de 6,5 à 9,8. Elle inclut des correctifs pour des vulnérabilités d'exécution de code à distance, d'élévation de privilèges et de divulgation d'informations.
Quelles sont les conditions préalables pour KB5077864 ?
Les prérequis incluent l'installation de .NET 9.0 RTM ou version ultérieure, 150-500 Mo d'espace disque libre selon les composants, et des privilèges administrateur/root pour l'installation. Aucune mise à jour préalable spécifique n'est requise, mais les systèmes doivent être à jour avec les mises à jour de sécurité régulières.
Y a-t-il des problèmes connus avec KB5077864 ?
Les problèmes connus incluent des temps de construction légèrement plus longs (augmentation de 2 à 5 %) en raison de la validation de sécurité améliorée de MSBuild, des problèmes de compatibilité potentiels avec le code de sérialisation personnalisé, et la nécessité de reconstruire les images de conteneurs. La plupart des applications continuent de fonctionner normalement après la mise à jour.
Références (3)
1
Mise à jour .NET 9.0 - 10 février 2026Article de support officiel de Microsoft pour la mise à jour de sécurité .NET 9.0https://support.microsoft.com/en-us/topic/-net-9-0-update-february-10-2026-f4c1c21e-8fdd-46fa-8867-03484ed12903
2Téléchargements .NET 9.0Page de téléchargement pour les mises à jour du runtime et du SDK .NET 9.0https://dotnet.microsoft.com/download/dotnet/9.0
3Mises à jour de sécurité .NETDépôt officiel des annonces et mises à jour de sécurité .NEThttps://github.com/dotnet/announcements/issues
À propos de l'auteur
Discussion
Partagez vos réflexions et analyses
Vous devez être connecté pour commenter.
Chargement des commentaires...
Articles KB associés
KB5081276
.NET Framework
KB Article
KB5081276 — Mise à jour de sécurité pour .NET 10.0
KB5081276 est une mise à jour de sécurité pour .NET 10.0 qui corrige plusieurs vulnérabilités, y compris CVE-2026-0847 et CVE-2026-0848, affectant les applications fonctionnant sur les plateformes Windows, Linux et macOS.
11 mars12 min
KB5081278
.NET Framework
KB Article
KB5081278 — Mise à jour de sécurité pour .NET 9.0
KB5081278 est une mise à jour de sécurité pour .NET 9.0 qui corrige plusieurs vulnérabilités, y compris CVE-2026-0847 et CVE-2026-0848, affectant les applications fonctionnant sur les plateformes Windows, Linux et macOS.
11 mars12 min
KB5081277
.NET Framework
KB Article
KB5081277 — Mise à jour de sécurité pour .NET 8.0 Runtime et ASP.NET Core
KB5081277 est une mise à jour de sécurité pour .NET 8.0 runtime et ASP.NET Core qui corrige plusieurs vulnérabilités, y compris CVE-2026-0847 et CVE-2026-0848, affectant les applications fonctionnant sur Windows, Linux et macOS.
11 mars12 min
KB5077862
.NET Framework
KB Article
KB5077862 — Mise à jour de sécurité pour le Framework .NET 10.0
KB5077862 est une mise à jour de sécurité pour le Framework .NET 10.0 qui corrige plusieurs vulnérabilités, y compris CVE-2026-0847 et CVE-2026-0848, affectant les applications fonctionnant sur les plateformes Windows, macOS et Linux.
11 mars12 min