Kurz notiert: Gestern Abend hat Microsoft für PowerShell jeweils eine neue Version bereitgestellt. Diese kommen mit einer Woche Verspätung, aber das war so gewollt, um sicherzustellen, dass alle Pakete verfügbar sind. Dabei handelt es sich um PowerShell 7.6.1, 7.5.6 und 7.4.15.
In diesen drei Versionen wurden einige Fehler korrigiert. Die jeweilige Version wurde dann auch noch auf .NET SDK 10.0.202, .NET SDK 9.0.313 bzw. .NET SDK to 8.0.420 aktualisiert.
.NET 10.0.7 hingegen wurde veröffentlicht, weil hier eine Sicherheitslücke (CVE-2026-40372) geschlossen wurde, die zu einigen Probleme führen könnten. Daher das Out of Band Sicherheitsupdate.
- Ein Fehler in den NuGet-Paketen „Microsoft.AspNetCore.DataProtection“ 10.0.0–10.0.6 führt dazu, dass der verwaltete Authentifizierungsverschlüsseler seinen HMAC-Validierungstag über die falschen Bytes der Nutzlast berechnet und den berechneten Hash in einigen Fällen anschließend verwirft.
- In diesen Fällen könnte die fehlerhafte Validierung es einem Angreifer ermöglichen, Nutzdaten zu fälschen, die die Authentizitätsprüfungen von DataProtection bestehen, und zuvor geschützte Nutzdaten in Authentifizierungs-Cookies, Anti-Fälschungs-Tokens, TempData, OIDC-Status usw. zu entschlüsseln.
- Wenn ein Angreifer während des Sicherheitslückenzeitraums gefälschte Nutzdaten verwendet hat, um sich als privilegierter Benutzer zu authentifizieren, könnte er die Anwendung dazu gebracht haben, legitim signierte Token (Sitzungsaktualisierung, API-Schlüssel, Link zum Zurücksetzen des Passworts usw.) an sich selbst auszustellen. Diese Token bleiben nach dem Upgrade auf 10.0.7 gültig, sofern der DataProtection-Schlüsselring nicht ausgetauscht wird.
Info und Download:
- github.com/PowerShell/releases/tag/v7.6.1
- github.com/PowerShell/releases/tag/v7.5.6
- github.com/PowerShell/releases/tag/v7.4.15
- github.com/dotnet/core/10.0/10.0.7
- devblogs.microsoft.com/dotnet-10-0-7-oob-security-update
Danke auch an alles für die Hinweise
Windows 11 Tutorials und Hilfe
- In unserem Windows 11 Wiki findet ihr sehr viele hilfreiche Tipps und Tricks.
- Falls ihr Fragen habt, dann stellt diese ganz einfach bei uns im Forum.
- Installationsmedien: Aktuelle Windows 11 ISOs findet ihr hier: 25H2 26200. Ansonsten immer in der rechten Sidebar.
- Windows 11 neu clean installieren Tipps und Tricks.
- Windows 11 auch ohne TPM und Secure Boot installieren.
- Windows 11 mit lokalem Konto auch Offline installieren.
- Windows 11 Inplace Upgrade Reparatur oder Feature Update.
- Automatisch anmelden Pin entfernen Windows 11.
- Alle Beiträge zu Windows 11 im Blog findet ihr über diese Seite. Wobei auch alle anderen Artikel interessant sein können.
PowerShell 7.6.1, 7.5.6 und 7.4.15 sowie .NET 10.0.7 (OOB) mit einer Sicherheitskorrektur sind veröffentlicht worden
Warum bekomme ich die Updates nicht über Winget?
Ich habe winget v1.28.240 installiert.
Powershell ist in v7.6.0 installiert, DotNet 10.0.6
Was hilft mir ein App-Installer bzw. Paket Manager, wenn erst nach Tagen (oder Wochen?) die Updates kommen?
Bei Terminal letzthin das Gleiche…
Müssen die erst in den Quellen freigegeben werden, oder kann man den Update per winget forcieren?
Weil Microsoft das immer zeitverzögert bereitstellt. Solange das im Repository nicht aktualisiert wird, kommt da nichts neues über winget.
Da dürfte überhaupt nichts kommen, weil die Windows .dlls von der Sache überhaupt nicht betroffen sind.
Es betrifft nur Entwickler, die den betroffenen Code statisch in ihre Anwendung eingebunden haben. Die müssen dann neu mit der fehlerbereinigten Version linken. Dürften nicht sehr viele sein. Aber dann ggf. sicherheitsrelevante Anwendungen betreffen. Wird man sehen müssen wer deshalb alles Updates bringen wird.
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-40372
Außer einem „Sprung“ von 10.0.5 auf 10.0.7 am nächsten Patchday dürfte bei Windows selbst fast überall nichts passieren.
Nur wer mit winget selbst ausdrücklich 10.0.6 installiert hat bekommt derzeit ein Update auf 10.0.7, wenn er selbst oder z. B. uniget dies ausdrücklich triggert. Notwendig ist es aber nicht.
Das .NET kommt bei mir über Windows Update. Aber wie auch immer. in winget steht jetzt die 10.0.7 zur Verfügung.
Ich habe jetzt einfach mal aus Spaß die 10.0.5 installiert und über Winget kommt jetzt die 10.0.7. Brauchte da nichts weiter machen. Wird automatisch angeboten.
Kommt jetzt auch über das Windows Update. Als Sicherheitsupdate.
„Müssen die erst in den Quellen freigegeben werden, oder kann man den Update per winget forcieren?“
Zu WinGet siehe https://github.com/microsoft/winget-pkgs#windows-package-manager-community-repository
„This repository contains the manifest files for the Windows Package Manager default source. You are highly encouraged to submit manifests for your favorite application.“
https://github.com/microsoft/winget-pkgs/blob/master/doc/Issues.md#request-a-new-package-version
„GitHub uses Issues to track work. Community members are welcome to submit issues in this repository related to existing packages, new versions of packages, and existing manifests. In addition, requests for improvements to the validation pipelines and our bots are welcome.“
Selbst wenn es teil-automatisiert abläuft, wird eine Validierung erforderlich sein.
Wenn man den winget Kanal wählt bekommt man immer alles ca. 1 Monat früher zum Testen. Kann man wollen. Müssen tut man es aber nicht.
Wirklich sicherheitsrelevante Patches schickt MSFT – nur ganz leicht zeitverzögert – auch an alle über die regulären Update Channels raus. Diesr Bug ist aber sehr speziell und betrifft shared .net core dlls überhaupt nicht.
Deshalb ist kein Update von Windows erforderlich.
Verwendet eine App die betroffene Funktion statisch gelinkt muss die Anwendung selbst aktualisiert werden. Auch winget kann dann nichts ändern.
Das ist neu wenn man PowerShell aufmacht:
A new PowerShell stable release is available: v7.6.1
Upgrade now, or check out the release page at:
https://aka.ms/PowerShell-Release?tag=v7.6.1
Niedlich. Sehe ich gar nicht bei mir, weil das alles verändert habe. Aber sieht interessant aus.
Sooo neu ist das aber nicht, diese Anzeige hatte ich schon zich Versionen VOR der 7.6.1
Ok, ich habe es erst bei 7.6.0 gesehen, bei den vorherigen Versionen ist es mir nicht aufgefallen.
Ist normal. Die Anzeige gibt es schon ewig.
Früher war es sogar mal so, dass man auch über neue nicht-LTS Versionen benachrichtigt wurde, selbst wenn man eine LTS-Version verwendet. Das ist (glücklicherweise) nicht mehr so.
Wie kommt’s eigentlich, dass es immer so lange dauert, bis die aktuelle Powershellversion in Windows Update angekommen ist? Update immer darüber, und, bislang ist noch nichts zu sehen von 7.6.1.
Mittlerweile hat mir die Google K.I. plausible Antworten geliefert. 🙂
https://share.google/aimode/vJq0ciV7Nb3WYtuPM
Microsoft .NET 10.0.8
https://github.com/dotnet/core/blob/main/release-notes/10.0/10.0.8/10.0.8.md
https://github.com/PowerShell/PowerShell/releases/tag/v7.6.1