Shadow

Varias versiones de .NET Framework perderán el soporte de Microsoft el próximo año

Hoy, Microsoft anunció que admitirá múltiples versiones de .NET Framework con el algoritmo de hash seguro heredado e inseguro SHA-`1 el próximo año.

El marco .NET es un marco de desarrollo de software libre mediante el cual los desarrolladores crean aplicaciones, sitios web y servicios .NET. Los usuarios los ejecutan en su sistema operativo utilizando diferentes implementaciones de .NET.

Según el anuncio oficial, «.NET Framework 4.5.2, 4.6 y 4.6.1 llegará al final del soporte el 26 de abril de 2022.

Jamshed Damkewala, director de ingeniería principal de .NET, dijo: «Después de esta fecha, ya no proporcionaremos actualizaciones, incluidas correcciones de seguridad o soporte técnico para estas versiones».

La excepción a esto es la versión .NET Framework 4.6. Obtendrá el soporte extendido hasta octubre de 2025, cuando el sistema operativo llegue al final de su vida útil.

Se recomienda a los desarrolladores de .NET que migren sus aplicaciones al menos a .NET Framework 4.6.2 o posterior antes del 26 de abril de 2022 para que puedan seguir recibiendo las actualizaciones de seguridad y el soporte técnico.

Los desarrolladores que ya han implementado .NET Framework 4.6.2 o versiones posteriores solo tienen que actualizar el tiempo de ejecución en el que las aplicaciones ejecutan la versión 4.6.2. .NET Framework 4.6.2 y .NET Framework 4.8 son tiempos de ejecución estables y compatibles con reemplazos locales.

 Damkewala agregó: «Si su aplicación se creó para .NET Framework 4 – 4.6.1, debería continuar ejecutándose en .NET Framework 4.6.2 y versiones posteriores sin ningún cambio en la mayoría de los casos.

«Dicho esto, le recomendamos encarecidamente que valide que la funcionalidad de su aplicación no se vea afectada cuando se ejecuta en la versión de tiempo de ejecución más reciente antes de implementar el tiempo de ejecución actualizado en su entorno de producción».

La razón probable por la que Microsoft retira estas versiones es que están firmadas digitalmente con certificados que utilizan el algoritmo de hash criptográfico SHA-1 heredado e inseguro.

El informe publicado por expertos en seguridad en 2010 sobre la vulnerabilidad de SHA-1 a los ataques de colisión dijo que permiten a los actores maliciosos falsificar certificados digitales para hacerse pasar por empresas o sitios web.

Se pueden usar para falsificar empresas, agregar legitimidad a los mensajes de phishing o en ataques hechos en el medio para espiar la sesión de red cifrada.

A partir del 9 de mayo, los servicios y procesos de Microsoft utilizarán exclusivamente el algoritmo SHA-2.

Microsoft ya retiró el contenido SHA-1 firmado por Windows del centro de descarga de Microsoft en agosto de 2020.

Lo notable es que Microsoft solo admite contenido firmado SHA-2 para contenido oficial. Sin embargo, los ejecutables de Windows firmados con certificados SHA-1 de empresa o autofirmados instalados manualmente aún pueden ejecutarse en el sistema operativo.