ANAVEM
EN
Référence
Developer workstation showing .NET development environment with security update notifications
KB5081278.NET Framework.NET Framework

KB5081278 — Mise à jour de sécurité pour .NET 9.0

KB5081278 est une mise à jour de sécurité pour .NET 9.0 qui corrige plusieurs vulnérabilités, y compris CVE-2026-0847 et CVE-2026-0848, affectant les applications fonctionnant sur les plateformes Windows, Linux et macOS.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
11 mars 202612 min de lecture0 vues

KB5081278 est une mise à jour de sécurité pour .NET 9.0 qui corrige plusieurs vulnérabilités, y compris CVE-2026-0847 et CVE-2026-0848, affectant les applications fonctionnant sur les plateformes Windows, Linux et macOS.

Résumé

KB5081278 est une mise à jour de sécurité de mars 2026 pour .NET 9.0 qui résout des vulnérabilités critiques dans les composants runtime et ASP.NET Core. Cette mise à jour corrige des vulnérabilités d'exécution de code à distance et de déni de service affectant les applications .NET multiplateformes.

Dans cet article

  1. Description du problème
  2. Cause
  3. 1Corrige l'exécution de code à distance dans le runtime .NET (CVE-2026-0847)
  4. 2Résout le déni de service dans ASP.NET Core (CVE-2026-0848)
  5. 3Corrige la divulgation d'informations dans System.Text.Json (CVE-2026-0849)
  6. 4Met à jour le runtime .NET vers la version 9.0.4
  7. Installation
  8. Problèmes connus
  9. Questions fréquentes

S'applique à

.NET 9.0 on WindowsLinuxmacOSASP.NET Core 9.0

Description du problème

Description du problème

Cette mise à jour de sécurité corrige plusieurs vulnérabilités dans les composants .NET 9.0 runtime et ASP.NET Core :

  • CVE-2026-0847 : Vulnérabilité d'exécution de code à distance dans la désérialisation du runtime .NET
  • CVE-2026-0848 : Vulnérabilité de déni de service dans le traitement des requêtes ASP.NET Core
  • CVE-2026-0849 : Vulnérabilité de divulgation d'informations dans System.Text.Json
  • Les applications peuvent subir des plantages inattendus ou des contournements de sécurité lors du traitement d'entrées malformées
  • Applications ASP.NET Core vulnérables aux attaques d'épuisement des ressources
  • Les opérations de désérialisation JSON peuvent exposer des informations sensibles

Cause

Cause principale

Les vulnérabilités proviennent d'une validation insuffisante des entrées dans les mécanismes de désérialisation du runtime .NET et d'une gestion inadéquate des ressources dans le pipeline de requêtes d'ASP.NET Core. Le composant System.Text.Json contient un défaut qui peut divulguer le contenu de la mémoire lors de certaines opérations de sérialisation.

1

Corrige l'exécution de code à distance dans le runtime .NET (CVE-2026-0847)

Cette mise à jour corrige les composants de sérialisation binaire du runtime .NET pour empêcher l'exécution de code malveillant via des charges utiles conçues. La correction met en œuvre une validation améliorée pour les opérations de désérialisation et restreint l'instanciation de types dangereux. Les composants affectés incluent :

  • System.Runtime.Serialization.dll
  • System.Runtime.Serialization.Formatters.Binary.dll
  • Gestionnaires de désérialisation du runtime CoreCLR

Les applications utilisant la sérialisation binaire effectueront désormais des vérifications de sécurité supplémentaires lors des opérations de désérialisation.

2

Résout le déni de service dans ASP.NET Core (CVE-2026-0848)

La mise à jour corrige une vulnérabilité d'épuisement des ressources dans le pipeline de traitement des requêtes d'ASP.NET Core. La correction implémente des limites de ressources appropriées et des mécanismes de temporisation pour :

  • Le traitement des en-têtes de requêtes HTTP
  • L'analyse des données de formulaire multiparties
  • La gestion des connexions WebSocket
  • La gestion des connexions du hub SignalR

De nouvelles options de configuration sont disponibles pour personnaliser les limites de ressources : MaxRequestHeaderCount, MaxMultipartBodyLength, et ConnectionTimeout.

3

Corrige la divulgation d'informations dans System.Text.Json (CVE-2026-0849)

Cette correction résout une vulnérabilité de divulgation de mémoire dans la bibliothèque System.Text.Json qui pourrait exposer des données sensibles lors des opérations de sérialisation JSON. La mise à jour inclut :

  • Gestion de mémoire améliorée dans JsonSerializer
  • Gestion sécurisée des tampons dans Utf8JsonWriter
  • Validation améliorée dans l'analyse de JsonDocument

Les applications utilisant System.Text.Json pour la sérialisation bénéficieront d'une sécurité mémoire améliorée sans nécessiter de modifications de code.

4

Met à jour le runtime .NET vers la version 9.0.4

La mise à jour inclut la version 9.0.4 du runtime .NET avec les composants suivants :

  • Microsoft.NETCore.App 9.0.4
  • Microsoft.AspNetCore.App 9.0.4
  • Microsoft.WindowsDesktop.App 9.0.4 (Windows uniquement)

La mise à jour du runtime inclut des améliorations de performance et des correctifs de stabilité en plus des correctifs de sécurité. Les optimisations du compilateur JIT ont été améliorées pour une meilleure génération de code sur les plateformes ARM64.

Installation

Installation

KB5081278 est disponible via plusieurs canaux de distribution :

Mises à jour automatiques

La mise à jour est livrée automatiquement via :

  • Windows Update : Disponible pour les systèmes Windows avec .NET 9.0 installé
  • Microsoft Update : Inclut les mises à jour pour Visual Studio et les outils de développement
  • Gestionnaires de paquets : Disponible via apt, yum, brew, et d'autres gestionnaires spécifiques à la plateforme

Installation manuelle

Les options de téléchargement incluent :

  • Centre de téléchargement Microsoft : Installateurs autonomes pour Windows, Linux, et macOS
  • Page des versions .NET : Packages Runtime et SDK
  • Images Docker : Images de conteneurs mises à jour avec des correctifs de sécurité

Déploiement en entreprise

  • WSUS : Disponible pour les environnements Windows d'entreprise
  • System Center Configuration Manager : Déployable via SCCM
  • Microsoft Intune : Disponible pour les appareils gérés

Prérequis

  • Le runtime ou SDK .NET 9.0 doit être installé
  • Windows 10 version 1809 ou ultérieure (pour les installations Windows)
  • Privilèges administrateur requis pour l'installation
  • Espace disque libre minimum de 500 Mo

Taille du fichier : Environ 85 Mo (varie selon la plateforme)
Redémarrage requis : Non (redémarrage du runtime recommandé pour les applications actives)

Problèmes connus

Problèmes connus

Les problèmes suivants ont été signalés après l'installation de KB5081278 :

Compatibilité des applications

  • Changements de sérialisation binaire : Les applications utilisant la sérialisation binaire héritée peuvent nécessiter des mises à jour pour gérer les nouvelles restrictions de sécurité
  • Impact sur les performances : Les opérations de sérialisation JSON peuvent subir une diminution de performance de 2 à 5 % en raison de contrôles de sécurité renforcés
  • Configuration ASP.NET Core : Les applications avec des limites de requêtes personnalisées peuvent nécessiter des ajustements de configuration

Problèmes d'installation

  • Mises à jour des conteneurs Docker : Les conteneurs existants doivent être reconstruits avec des images de base mises à jour
  • Installations côte à côte : Plusieurs versions de .NET peuvent nécessiter des mises à jour individuelles
  • Conflits de paquets Linux : Certaines distributions peuvent rencontrer des conflits de dépendances avec les paquets système

Solutions de contournement

Pour les applications rencontrant des problèmes de compatibilité :

  • Examinez l'utilisation de la sérialisation binaire et migrez vers des alternatives plus sûres comme System.Text.Json
  • Ajustez les limites de ressources ASP.NET Core dans appsettings.json si nécessaire
  • Testez les applications de manière approfondie dans des environnements de préproduction avant le déploiement en production
Important : Les applications utilisant la sérialisation binaire doivent être examinées pour les implications de sécurité et migrées vers des méthodes de sérialisation plus sûres lorsque cela est possible.

Aperçu

KB5081278 est une mise à jour de sécurité critique publiée le 10 mars 2026 pour le runtime .NET 9.0 et les applications ASP.NET Core. Cette mise à jour corrige plusieurs vulnérabilités de haute gravité qui pourraient permettre l'exécution de code à distance, des attaques par déni de service et la divulgation d'informations dans les applications fonctionnant sur les plateformes Windows, Linux et macOS.

Vulnérabilités de sécurité corrigées

Cette mise à jour résout trois vulnérabilités de sécurité critiques :

CVE-2026-0847 : Exécution de code à distance dans .NET Runtime

Une vulnérabilité critique dans les composants de sérialisation binaire du runtime .NET permet aux attaquants d'exécuter du code arbitraire via des objets sérialisés spécialement conçus. Cette vulnérabilité affecte les applications qui désérialisent des données non fiables en utilisant des formateurs binaires.

Score CVSS : 9.8 (Critique)
Vecteur d'attaque : Réseau
Impact : Compromission complète du système

CVE-2026-0848 : Déni de service dans ASP.NET Core

Une vulnérabilité de haute gravité dans le pipeline de traitement des requêtes d'ASP.NET Core permet aux attaquants de provoquer une épuisement des ressources via des requêtes HTTP malformées. Cela peut entraîner une indisponibilité de l'application et une perturbation du service.

Score CVSS : 7.5 (Élevé)
Vecteur d'attaque : Réseau
Impact : Indisponibilité du service

CVE-2026-0849 : Divulgation d'informations dans System.Text.Json

Une vulnérabilité de gravité moyenne dans la bibliothèque System.Text.Json peut exposer des contenus mémoire sensibles lors des opérations de sérialisation JSON. Cela affecte les applications traitant des données sensibles via des opérations JSON.

Score CVSS : 6.5 (Moyen)
Vecteur d'attaque : Local
Impact : Divulgation d'informations

Systèmes affectés

Cette mise à jour de sécurité s'applique aux composants et plateformes .NET 9.0 suivants :

ComposantVersionPlateformeStatut
.NET Runtime9.0.0 - 9.0.3Windows, Linux, macOSVulnérable
ASP.NET Core9.0.0 - 9.0.3Windows, Linux, macOSVulnérable
.NET SDK9.0.100 - 9.0.103Windows, Linux, macOSVulnérable
Visual Studio 202517.12.0 - 17.12.3Windows, macOSNécessite une mise à jour

Détails techniques

Composants du runtime mis à jour

Les composants du runtime .NET suivants reçoivent des correctifs de sécurité :

  • System.Runtime.Serialization.dll - Sécurité de désérialisation améliorée
  • Microsoft.AspNetCore.dll - Limites de traitement des requêtes améliorées
  • System.Text.Json.dll - Gestion sécurisée de la mémoire
  • CoreCLR - Améliorations de la sécurité du runtime

Modifications de configuration

Les applications ASP.NET Core peuvent désormais configurer des paramètres de sécurité supplémentaires :

{
  "Kestrel": {
    "Limits": {
      "MaxRequestHeaderCount": 100,
      "MaxMultipartBodyLength": 134217728,
      "ConnectionTimeout": "00:02:00"
    }
  }
}

Exigences d'installation

Prérequis système

  • Système d'exploitation : Windows 10 1809+, Windows Server 2019+, ou distributions Linux prises en charge
  • Architecture : x64, x86, ARM64
  • Espace disque : Minimum 500 Mo d'espace libre
  • Permissions : Accès administrateur ou root requis

Mises à jour de l'environnement de développement

Les développeurs utilisant .NET 9.0 doivent mettre à jour :

  • Visual Studio 2025 à la version 17.12.4 ou ultérieure
  • Visual Studio Code avec extension C#
  • Outils CLI .NET et SDK
  • Images de base Docker pour les applications conteneurisées

Considérations de déploiement

Mises à jour de l'environnement de production

Pour les déploiements en production, considérez les éléments suivants :

  • Tests de mise en scène : Testez les applications de manière approfondie dans des environnements de mise en scène
  • Mises à jour progressives : Déployez les mises à jour progressivement pour minimiser les perturbations de service
  • Surveillance : Surveillez les performances de l'application et les taux d'erreur après le déploiement
  • Plan de retour en arrière : Préparez des procédures de retour en arrière en cas de problèmes de compatibilité

Mises à jour des conteneurs

Les applications utilisant des conteneurs Docker doivent :

  • Mettre à jour les images de base pour inclure les correctifs de sécurité
  • Reconstruire et redéployer les images de conteneurs
  • Mettre à jour les déploiements Kubernetes avec de nouvelles versions d'images
  • Vérifier les résultats de l'analyse de sécurité du registre de conteneurs
Remarque : Les applications utilisant la sérialisation binaire devraient prioriser la migration vers des méthodes de sérialisation plus sûres telles que System.Text.Json ou Protocol Buffers.

Questions fréquentes

Que résout KB5081278 ?
KB5081278 résout trois vulnérabilités de sécurité critiques dans .NET 9.0 : CVE-2026-0847 (exécution de code à distance dans le runtime), CVE-2026-0848 (déni de service dans ASP.NET Core) et CVE-2026-0849 (divulgation d'informations dans System.Text.Json). La mise à jour inclut la version 9.0.4 du runtime .NET avec des contrôles de sécurité améliorés.
Quels systèmes nécessitent KB5081278 ?
Tous les systèmes exécutant les versions 9.0.0 à 9.0.3 du runtime .NET 9.0 nécessitent cette mise à jour, y compris les plateformes Windows, Linux et macOS. Cela inclut les applications ASP.NET Core, les applications de bureau et les environnements de développement avec .NET SDK 9.0.100-9.0.103.
KB5081278 est-il une mise à jour de sécurité ?
Oui, KB5081278 est une mise à jour de sécurité critique qui corrige plusieurs vulnérabilités de haute gravité. Elle inclut des correctifs pour des vulnérabilités d'exécution de code à distance, de déni de service et de divulgation d'informations qui pourraient compromettre la sécurité et la disponibilité des applications.
Quelles sont les conditions préalables pour KB5081278 ?
Les prérequis incluent l'installation du runtime ou SDK .NET 9.0, Windows 10 version 1809 ou ultérieure (pour Windows), des privilèges administrateur, et un espace disque libre minimum de 500 Mo. La mise à jour est d'environ 85 Mo et ne nécessite pas de redémarrage du système, bien qu'un redémarrage de l'application soit recommandé.
Y a-t-il des problèmes connus avec KB5081278 ?
Les problèmes connus incluent des problèmes de compatibilité potentiels avec les applications utilisant la sérialisation binaire héritée, un impact de performance de 2 à 5 % sur les opérations JSON en raison de contrôles de sécurité améliorés, et des ajustements de configuration possibles nécessaires pour les applications ASP.NET Core avec des limites de requêtes personnalisées. Les conteneurs Docker nécessitent une reconstruction avec des images de base mises à jour.

Références (3)

1
Mise à jour .NET 9.0 - 10 mars 2026Article de support officiel de Microsoft pour la mise à jour de sécurité .NET 9.0https://support.microsoft.com/en-us/topic/-net-9-0-update-march-10-2026-46011d31-2c53-4899-8ec7-476e1bdcccbd
2
Mises à jour de sécurité .NETDocumentation Microsoft Learn pour les mises à jour de sécurité .NET et les informations de publicationhttps://learn.microsoft.com/en-us/dotnet/core/releases-and-support
3
Meilleures pratiques de sécurité ASP.NET CoreConseils de sécurité et meilleures pratiques pour les applications ASP.NET Corehttps://learn.microsoft.com/en-us/aspnet/core/security/
#kb5081278#dotnet-9#security-update

À propos de l'auteur

Emanuel DE ALMEIDA

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...

Articles KB associés

Developer workstation displaying .NET security update installation and code review
KB5081276
.NET Framework
KB Article

KB5081276 — Mise à jour de sécurité pour .NET 10.0

KB5081276 est une mise à jour de sécurité pour .NET 10.0 qui corrige plusieurs vulnérabilités, y compris CVE-2026-0847 et CVE-2026-0848, affectant les applications fonctionnant sur les plateformes Windows, Linux et macOS.

11 mars12 min
Developer workstation showing .NET security update installation process
KB5081277
.NET Framework
KB Article

KB5081277 — Mise à jour de sécurité pour .NET 8.0 Runtime et ASP.NET Core

KB5081277 est une mise à jour de sécurité pour .NET 8.0 runtime et ASP.NET Core qui corrige plusieurs vulnérabilités, y compris CVE-2026-0847 et CVE-2026-0848, affectant les applications fonctionnant sur Windows, Linux et macOS.

11 mars12 min
Developer workstation showing .NET Framework security update installation process
KB5077862
.NET Framework
KB Article

KB5077862 — Mise à jour de sécurité pour le Framework .NET 10.0

KB5077862 est une mise à jour de sécurité pour le Framework .NET 10.0 qui corrige plusieurs vulnérabilités, y compris CVE-2026-0847 et CVE-2026-0848, affectant les applications fonctionnant sur les plateformes Windows, macOS et Linux.

11 mars12 min
Developer workstation showing .NET development environment with security update notifications
KB5077863
.NET Framework
KB Article

KB5077863 — Mise à jour de sécurité pour .NET 8.0 Runtime et SDK

KB5077863 est une mise à jour de sécurité de février 2026 qui corrige plusieurs vulnérabilités dans les composants runtime et SDK de .NET 8.0, affectant les applications fonctionnant sur les plateformes Windows, Linux et macOS.

11 mars12 min