Shadow

Mehrere .NET Framework-Versionen werden im nächsten Jahr die Unterstützung von Microsoft verlieren

Microsoft hat heute die Unterstützung mehrerer .NET Framework-Versionen mit dem älteren und unsicheren Secure Hash-Algorithmus SHA-`1 im nächsten Jahr angekündigt.

Das .NET Framework ist ein kostenloses Softwareentwicklungsframework, mit dem Entwickler .NET-Anwendungen, Websites und Dienste erstellen. Benutzer führen sie auf ihrem Betriebssystem mit verschiedenen .NET-Implementierungen aus.

Gemäß der offiziellen Ankündigung werden „.NET Framework 4.5.2, 4.6 und 4.6.1 am 26. April 2022 das Ende der Unterstützung erreichen.

Jamshed Damkewala, Principal Engineering Manager von .NET, sagte: „Nach diesem Datum werden wir keine Updates mehr bereitstellen, einschließlich Sicherheitskorrekturen oder technischen Support für diese Versionen.“

Eine Ausnahme bildet die .NET Framework 4.6-Version. Die Unterstützung wird bis Oktober 2025 verlängert, wenn das Betriebssystem sein Lebensende erreicht.

Den .NET-Entwicklern wird empfohlen, ihre Apps vor dem 26. April 2022 auf mindestens .NET Framework 4.6.2 oder höher zu migrieren, damit sie weiterhin Sicherheitsupdates und technischen Support erhalten können.

Die Entwickler, die bereits .NET Framework 4.6.2 oder eine neuere Version bereitgestellt haben, müssen lediglich die Laufzeit aktualisieren, auf der die Apps die Version 4.6.2 ausführen. .NET Framework 4.6.2 und .NET Framework 4.8 sind stabile Laufzeiten und kompatibel mit direkten Ersetzungen.

 Damkewala fügte hinzu: „Wenn Ihre Anwendung für .NET Framework 4 – 4.6.1 erstellt wurde, sollte sie in den meisten Fällen ohne Änderungen unter .NET Framework 4.6.2 und höher ausgeführt werden.

„Wir empfehlen Ihnen jedoch dringend, zu überprüfen, ob die Funktionalität Ihrer App bei der Ausführung mit der neueren Laufzeitversion nicht beeinträchtigt wird, bevor Sie die aktualisierte Laufzeit in Ihrer Produktionsumgebung bereitstellen.“

Der wahrscheinliche Grund, warum Microsoft diese Versionen zurückzieht, ist, dass sie digital mit Zertifikaten signiert sind, die den alten und unsicheren kryptografischen SHA-1-Hashing-Algorithmus verwenden.

In einem 2010 veröffentlichten Bericht von Sicherheitsexperten über die Anfälligkeit von SHA-1 für Kollisionsangriffe heißt es, dass böswillige Akteure digitale Zertifikate fälschen können, um sich als Unternehmen oder Websites auszugeben.

Sie können verwendet werden, um Unternehmen zu fälschen, Phishing-Nachrichten zu legitimieren oder um Angriffe in der Mitte durchzuführen, um die verschlüsselte Netzwerksitzung zu überwachen.

Ab dem 9. Mai verwenden Microsoft-Dienste und -Prozesse ausschließlich den SHA-2-Algorithmus.

Microsoft hat den von Windows signierten SHA-1-Inhalt bereits im August 2020 aus dem Microsoft Download Center entfernt.

Bemerkenswert ist, dass Microsoft nur von SHA-2 signierte Inhalte für offizielle Inhalte unterstützt. Mit manuell installierten Enterprise- oder selbstsignierten SHA-1-Zertifikaten signierte ausführbare Windows-Dateien können jedoch weiterhin im Betriebssystem ausgeführt werden.