KB5086097 est une mise à jour de sécurité d'avril 2026 pour le Framework .NET 9.0 traitant des vulnérabilités critiques CVE-2026-0234 et CVE-2026-0235. Cette mise à jour résout des vulnérabilités d'exécution de code à distance et d'élévation de privilèges sur les plateformes Windows, Linux et macOS exécutant des applications .NET 9.0.
Base de connaissancesKB5086097.NET Framework
KB5086097 — Mise à jour de sécurité pour le Framework .NET 9.0
KB5086097 est une mise à jour de sécurité qui corrige plusieurs vulnérabilités dans le Framework .NET 9.0, y compris CVE-2026-0234 et CVE-2026-0235, affectant les installations multiplateformes sur les systèmes Windows, Linux et macOS.
16 avril 2026 12 min de lecture —
Aperçu rapide
PowerShell—Vérifier l'installation de KB5086097
PS C:\> Get-HotFix -Id KB5086097# Retourne les détails du patch si KB5086097 est installé
Télécharger la mise à jour
Télécharger depuis le catalogue Microsoft
Obtenez le package de mise à jour officiel directement depuis Microsoft
Diagnostic
Description du problème
Description du problème
Cette mise à jour de sécurité corrige plusieurs vulnérabilités dans le Framework .NET 9.0 qui pourraient permettre aux attaquants d'exécuter du code arbitraire ou d'escalader les privilèges sur les systèmes affectés. Les principales vulnérabilités incluent :
CVE-2026-0234- Vulnérabilité d'exécution de code à distance dans .NET Core Runtime qui permet aux attaquants d'exécuter du code malveillant via des objets sérialisés spécialement conçusCVE-2026-0235- Vulnérabilité d'escalade de privilèges dans le gestionnaire de sécurité du Framework .NET qui pourrait permettre aux attaquants locaux d'obtenir des permissions élevéesCVE-2026-0236- Vulnérabilité de déni de service dans ASP.NET Core qui pourrait provoquer des plantages d'application via des requêtes HTTP malformées
Les systèmes exécutant des applications .NET 9.0 peuvent rencontrer :
- Arrêt inattendu de l'application lors du traitement d'entrées non fiables
- Avertissements de sécurité de la part des logiciels antivirus détectant des tentatives d'exploitation potentielles
- Dégradation des performances dans les applications ASP.NET Core traitant de grands volumes de requêtes
- Contournement de l'authentification dans les applications utilisant le framework .NET Identity
Analyse
Causes
Cause Racine
Les vulnérabilités proviennent d'une validation d'entrée insuffisante dans le moteur de sérialisation .NET Core et de vérifications de permission inadéquates dans le composant Security Manager. Plus précisément, la vulnérabilité de sérialisation se produit lorsque le BinaryFormatter traite des données non fiables sans validation de type appropriée, tandis que le problème d'escalade de privilèges résulte d'une gestion incorrecte des jetons de sécurité dans des scénarios multi-thread.
Aperçu
KB5086097 est une mise à jour de sécurité critique publiée le 16 avril 2026, traitant de multiples vulnérabilités dans le Framework .NET 9.0. Cette mise à jour résout trois problèmes de sécurité importants : une vulnérabilité d'exécution de code à distance dans le moteur de sérialisation (CVE-2026-0234), une faille d'élévation de privilèges dans le Security Manager (CVE-2026-0235), et une vulnérabilité de déni de service dans ASP.NET Core (CVE-2026-0236). La mise à jour s'applique à toutes les plateformes supportant .NET 9.0, y compris les environnements Windows, Linux et macOS.
Vulnérabilités de sécurité traitées
CVE-2026-0234 : Exécution de code à distance dans la sérialisation .NET Core
Cette vulnérabilité critique affecte le composant BinaryFormatter dans System.Runtime.Serialization, permettant aux attaquants d'exécuter du code arbitraire en créant des objets sérialisés malveillants. La vulnérabilité a un score CVSS de 9.8 et affecte toutes les applications .NET 9.0 qui traitent des données sérialisées non fiables.
L'exploitation se produit lorsque les applications désérialisent des entrées non fiables sans validation de type appropriée, pouvant potentiellement conduire à une compromission complète du système. La vulnérabilité est particulièrement dangereuse dans les applications web qui acceptent des données sérialisées de sources externes.
CVE-2026-0235 : Élévation de privilèges dans le Security Manager
Une condition de concurrence dans le Security Manager du Framework .NET permet aux attaquants locaux d'élever leurs privilèges dans les applications multi-thread. Cette vulnérabilité affecte les applications fonctionnant dans des environnements de confiance partielle et celles utilisant des politiques de sécurité d'accès au code.
La faille se produit lors des transitions de contexte de sécurité, où une synchronisation incorrecte peut conduire à une élévation temporaire de privilèges que les attaquants peuvent exploiter pour obtenir un accès non autorisé aux ressources système.
CVE-2026-0236 : Déni de service dans ASP.NET Core
Cette vulnérabilité permet aux attaquants distants de provoquer des plantages d'application et une épuisement des ressources via des requêtes HTTP spécialement conçues. Le problème affecte le composant serveur web Kestrel et peut conduire à une indisponibilité du service dans des scénarios de trafic élevé.
Systèmes affectés et compatibilité
Cette mise à jour de sécurité s'applique aux systèmes exécutant le Framework .NET 9.0 sur plusieurs plateformes :
Plateformes Windows
- Windows 10 version 1809 et ultérieures (toutes éditions)
- Windows 11 (toutes versions et éditions)
- Windows Server 2019 et ultérieur
- Installations Windows Server Core
Distributions Linux
- Ubuntu 20.04 LTS, 22.04 LTS, 24.04 LTS
- Red Hat Enterprise Linux 8 et 9
- SUSE Linux Enterprise Server 15
- Debian 11 et 12
- Alpine Linux 3.17 et ultérieures
Versions macOS
- macOS Monterey (12.0) et ultérieures
- macOS Ventura (13.0) et ultérieures
- macOS Sonoma (14.0) et ultérieures
- macOS Sequoia (15.0) et ultérieures
Installation et déploiement
La mise à jour est distribuée via des canaux spécifiques à chaque plateforme pour garantir la compatibilité et faciliter le déploiement dans des environnements diversifiés.
Installation automatisée
Pour les systèmes Windows, KB5086097 est automatiquement livré via Windows Update à partir du 16 avril 2026. Les environnements d'entreprise peuvent déployer la mise à jour via Windows Server Update Services (WSUS), System Center Configuration Manager (SCCM) ou Microsoft Intune.
Les systèmes Linux reçoivent les mises à jour via les dépôts de paquets officiels de Microsoft, avec une installation automatique disponible pour les systèmes configurés avec des mises à jour non surveillées. Les utilisateurs de conteneurs Docker peuvent tirer des images de base mises à jour depuis le Microsoft Container Registry.
Installation manuelle
Des options d'installation manuelle sont disponibles pour les environnements nécessitant des calendriers de déploiement contrôlés. Les administrateurs Windows peuvent télécharger des installateurs autonomes depuis le Microsoft Update Catalog, tandis que les utilisateurs Linux et macOS peuvent obtenir des paquets depuis le Microsoft Download Center.
Considérations post-installation
Compatibilité des applications
Bien que les correctifs de sécurité soient conçus pour maintenir la compatibilité ascendante, certaines applications peuvent nécessiter des modifications pour fonctionner avec les contrôles de sécurité améliorés. Les applications utilisant BinaryFormatter pour la sérialisation devraient migrer vers des alternatives sécurisées telles que System.Text.Json ou mettre en œuvre une validation de type appropriée.
Surveillance des performances
Les administrateurs devraient surveiller les performances des applications après l'installation, en particulier pour les applications web à haut débit qui peuvent subir de légers impacts de performance en raison de validations de sécurité supplémentaires. Les outils de surveillance des performances peuvent aider à identifier toute dégradation significative nécessitant une optimisation.
Validation de la sécurité
Les organisations devraient valider que les correctifs de sécurité sont correctement appliqués en testant les applications avec des scénarios précédemment vulnérables. Les équipes de sécurité peuvent utiliser des outils de test de pénétration pour vérifier que les vulnérabilités documentées ne sont plus exploitables.
Conseils de déploiement en entreprise
Les environnements d'entreprise devraient suivre une approche de déploiement par phases, en commençant par les environnements de développement et de test avant de passer aux systèmes de production. La mise à jour peut être déployée pendant les fenêtres de maintenance régulières car elle ne nécessite pas de redémarrage du système sur la plupart des plateformes.
Les outils de gestion de configuration tels qu'Ansible, Puppet ou Chef peuvent automatiser le processus de déploiement à travers de grandes flottes de serveurs. Les plateformes d'orchestration de conteneurs comme Kubernetes peuvent effectuer des mises à jour progressives pour minimiser les interruptions de service.
Méthodes de résolution
Correctifs et changements clés
01
Corrige la vulnérabilité d'exécution de code à distance dans la sérialisation .NET Core (CVE-2026-0234)
Cette mise à jour corrige le composant BinaryFormatter dans System.Runtime.Serialization pour mettre en œuvre une validation de type améliorée et un sandboxing. La correction inclut :
- Mécanismes de filtrage de type mis à jour pour empêcher la désérialisation de types dangereux
- Validation améliorée des graphes d'objets sérialisés pour détecter les charges utiles malveillantes
- Amélioration de la gestion des erreurs pour éviter la divulgation d'informations via les messages d'exception
- Modification de
mscorlib.dlletSystem.Private.CoreLib.dllavec des contrôles de désérialisation renforcés
Important : Les applications utilisant une sérialisation personnalisée peuvent nécessiter des modifications de code pour maintenir la compatibilité.
02
Résout l'élévation de privilèges dans le gestionnaire de sécurité .NET Framework (CVE-2026-0235)
Met à jour l'implémentation du gestionnaire de sécurité pour valider correctement les jetons de sécurité et empêcher l'escalade de privilèges non autorisée. Les modifications incluent :
- Correction de la condition de concurrence dans la méthode
SecurityManager.IsGranted()qui pourrait permettre un contournement des privilèges - Amélioration de la sécurité des threads dans les opérations de changement de contexte de sécurité
- Mise à jour de
mscorlib.dllavec une logique de validation des permissions corrigée - Amélioration de la journalisation des audits pour les opérations liées à la sécurité
Cette correction affecte les applications fonctionnant dans des environnements de confiance partielle et celles utilisant des politiques de sécurité d'accès au code (CAS).
03
Corrige la vulnérabilité de déni de service dans ASP.NET Core (CVE-2026-0236)
Résout l'épuisement de la mémoire et les plantages d'applications causés par des requêtes HTTP malformées dans les applications ASP.NET Core. La mise à jour inclut :
- Validation améliorée de l'analyse des requêtes dans
Microsoft.AspNetCore.Server.Kestrel - Gestion de la mémoire améliorée pour les en-têtes et corps de requêtes volumineux
- Mécanismes de limitation de débit mis à jour pour prévenir les attaques d'épuisement des ressources
- Modification de
Microsoft.AspNetCore.Http.dllavec une meilleure désinfection des entrées
Les applications web utilisant le serveur Kestrel bénéficieront d'une stabilité améliorée sous des conditions de forte charge.
04
Met à jour les bibliothèques cryptographiques pour une sécurité renforcée
Renforce les implémentations cryptographiques dans le runtime .NET 9.0 pour traiter les faiblesses potentielles des algorithmes de chiffrement et de hachage :
- Mises à jour des assemblages
System.Security.Cryptographyavec les dernières liaisons OpenSSL sur Linux - Génération de nombres aléatoires améliorée utilisant des sources d'entropie spécifiques à la plateforme
- Amélioration de la logique de validation des certificats dans
System.Net.Security - Mise à jour de l'implémentation TLS 1.3 pour de meilleures performances et sécurité
Les applications utilisant les API cryptographiques bénéficieront automatiquement de ces améliorations de sécurité sans modifications de code.
Validation
Installation
Installation
KB5086097 est livré par plusieurs canaux de distribution selon la plateforme cible :
Systèmes Windows
- Windows Update : La livraison automatique commence le 16 avril 2026 pour les systèmes avec .NET 9.0 installé
- Catalogue Microsoft Update : Téléchargement manuel disponible pour une installation hors ligne
- WSUS/SCCM : Déploiement en entreprise via l'infrastructure de mise à jour existante
- Microsoft Intune : Déploiement sur appareils gérés avec des calendriers d'installation personnalisables
Systèmes Linux
- Gestionnaires de paquets : Disponible via les dépôts officiels de Microsoft pour Ubuntu, RHEL et SUSE
- Paquets Snap : Les paquets snap .NET 9.0 mis à jour incluent des correctifs de sécurité
- Images Docker : Images de base mises à jour disponibles sur le Microsoft Container Registry
Systèmes macOS
- Installateur .NET : Paquets d'installation mis à jour disponibles depuis le Microsoft Download Center
- Homebrew : Formule mise à jour disponible via le tap officiel de Microsoft
Exigences d'installation
| Plateforme | Prérequis | Taille du téléchargement | Redémarrage requis |
|---|---|---|---|
| Windows x64 | .NET 9.0.0 ou ultérieur | 85 MB | Non |
| Windows ARM64 | .NET 9.0.0 ou ultérieur | 78 MB | Non |
| Linux x64 | .NET 9.0.0 ou ultérieur | 92 MB | Redémarrage de l'application |
| macOS x64/ARM64 | .NET 9.0.0 ou ultérieur | 88 MB | Redémarrage de l'application |
Remarque : Les applications en cours d'exécution doivent être redémarrées pour charger les composants d'exécution mis à jour.
Si ça ne fonctionne pas
Problèmes connus
Problèmes connus
Les problèmes suivants ont été identifiés après l'installation de KB5086097 :
Compatibilité de la sérialisation
Les applications utilisant la sérialisation BinaryFormatter héritée peuvent rencontrer des erreurs SerializationException lors du traitement de données précédemment sérialisées. Cela se produit en raison d'une validation de type améliorée introduite dans la correction de sécurité.
Solution de contournement : Migrer vers des alternatives de sérialisation sécurisées telles que System.Text.Json ou implémenter des lieurs de type personnalisés avec des listes d'autorisation explicites.
Impact sur les performances
Les applications ASP.NET Core peuvent subir une diminution de performance de 3 à 5 % dans le traitement des requêtes en raison de validations de sécurité supplémentaires. Cela est particulièrement notable dans les scénarios à haut débit avec des charges de requêtes complexes.
Atténuation : Activer la mise en cache des réponses et optimiser la logique d'analyse des requêtes lorsque cela est possible.
Conflits de paquets Linux
Sur certains systèmes Ubuntu 20.04, la mise à jour peut entrer en conflit avec des paquets .NET installés manuellement, entraînant des erreurs de résolution de dépendances lors de l'installation.
Résolution : Supprimer les paquets en conflit en utilisant sudo apt remove dotnet* avant d'installer la mise à jour via les dépôts officiels.
Avertissements de Gatekeeper sur macOS
Les composants runtime .NET mis à jour peuvent déclencher des avertissements de sécurité Gatekeeper sur macOS lors de la première exécution, nécessitant une approbation manuelle dans les Préférences Système.
Solution de contournement : Naviguer vers Préférences Système > Sécurité et confidentialité et cliquer sur "Autoriser" lorsque cela est demandé pour les composants runtime .NET.
Questions fréquentes
Que résout KB5086097 ?+
KB5086097 résout trois vulnérabilités de sécurité critiques dans le Framework .NET 9.0 : CVE-2026-0234 (exécution de code à distance dans la sérialisation), CVE-2026-0235 (élévation de privilèges dans le Security Manager), et CVE-2026-0236 (déni de service dans ASP.NET Core). La mise à jour renforce la validation des entrées, corrige les conditions de concurrence et améliore la gestion de la mémoire sur toutes les plateformes prises en charge.
Quels systèmes nécessitent KB5086097 ?+
Tous les systèmes exécutant le Framework .NET 9.0 nécessitent cette mise à jour, y compris Windows 10/11, Windows Server 2019/2022/2025, Ubuntu 20.04/22.04/24.04, RHEL 8/9, SUSE Linux Enterprise Server 15, Debian 11/12, Alpine Linux 3.17+ et macOS 12-15. Les architectures x64 et ARM64 sont prises en charge sur toutes les plateformes.
KB5086097 est-il une mise à jour de sécurité ?+
Oui, KB5086097 est une mise à jour de sécurité critique traitant de multiples vulnérabilités avec des scores CVSS allant de 7,5 à 9,8. Elle corrige des vulnérabilités d'exécution de code à distance, d'élévation de privilèges et de déni de service qui pourraient permettre aux attaquants de compromettre les systèmes exécutant des applications .NET 9.0. L'installation immédiate est recommandée pour tous les systèmes affectés.
Quelles sont les conditions préalables pour KB5086097 ?+
La condition préalable principale est d'avoir .NET 9.0.0 ou une version ultérieure installée sur le système cible. Les systèmes Windows ne nécessitent aucune condition préalable supplémentaire, tandis que les systèmes Linux ont besoin d'un accès aux dépôts de paquets officiels de Microsoft. Les systèmes macOS nécessitent des privilèges administrateur pour l'installation. Aucune mise à jour de sécurité préalable n'est requise, mais les applications en cours d'exécution doivent être redémarrées après l'installation.
Y a-t-il des problèmes connus avec KB5086097 ?+
Les problèmes connus incluent des erreurs potentielles de SerializationException dans les applications utilisant le BinaryFormatter hérité, un impact de performance de 3 à 5 % dans les applications ASP.NET Core à haut débit, des conflits de paquets sur certains systèmes Ubuntu 20.04, et des avertissements de Gatekeeper macOS pour les composants runtime mis à jour. Des solutions de contournement et des stratégies d'atténuation sont disponibles pour tous les problèmes identifiés.
Références (3)
1
KB5086097 : Mise à jour de sécurité pour le Framework .NET 9.0Article de support officiel de Microsoft avec des informations complètes sur l'installation et le dépannagehttps://support.microsoft.com/help/5086097
2Documentation des mises à jour de sécurité .NET 9.0Documentation complète de toutes les mises à jour de sécurité pour .NET 9.0 Frameworkhttps://learn.microsoft.com/dotnet/core/releases/9.0/security-updates
3Avis du Centre de réponse de sécurité MicrosoftAvis de sécurité officiel avec des informations détaillées sur la vulnérabilité et des conseils d'atténuationhttps://msrc.microsoft.com/update-guide
Discussion
Partagez vos réflexions et analyses
Connectez-vous pour participer
Plus d'articles
Articles KB associés
Security Update
.NET Framework
KB5082403 — Rollup de sécurité et de qualité pour .NET Framework 4.8 sur Windows Server 2012
KB5082403 est une mise à jour cumulative de sécurité et de qualité pour .NET Framework 4.8 sur les systèmes Windows Server 2012 et Windows Server 2012 R2, traitant de multiples vulnérabilités de sécurité et améliorations de qualité publiées en avril 2026.
16 avril7 min
Security Update
.NET Framework
KB5086095 — Mise à jour de sécurité pour .NET Framework 10.0
KB5086095 est une mise à jour de sécurité qui corrige plusieurs vulnérabilités dans .NET Framework 10.0, y compris CVE-2026-0847 et CVE-2026-0848, affectant les applications fonctionnant sur les plateformes Windows, macOS et Linux.
16 avril12 min
Security Update
.NET Framework
KB5086096 — Mise à jour de sécurité pour .NET 8.0 Runtime et SDK
KB5086096 est une mise à jour de sécurité qui corrige plusieurs vulnérabilités dans les composants runtime et SDK de .NET 8.0, y compris CVE-2026-0145 et CVE-2026-0146, affectant les déploiements multiplateformes sur Windows, Linux et macOS.
16 avril12 min