Shadow

Più versioni di .NET Framework perderanno il supporto di Microsoft il prossimo anno

Oggi, Microsoft ha annunciato il supporto per più versioni di .NET Framework con l’algoritmo Secure Hash SHA-`1 legacy e non sicuro l’anno prossimo.

.NET Framework è un framework di sviluppo software gratuito che utilizza il quale gli sviluppatori creano applicazioni .NET, siti Web e servizi. Gli utenti li eseguono sul proprio sistema operativo utilizzando diverse implementazioni .NET.

Come da annuncio ufficiale, “.NET Framework 4.5.2, 4.6 e 4.6.1 raggiungerà la fine del supporto il 26 aprile 2022.

Jamshed Damkewala, .NET Principal Engineering Manager, ha dichiarato: “Dopo questa data, non forniremo più aggiornamenti, comprese le correzioni per la sicurezza o il supporto tecnico per queste versioni”.

L’eccezione a questo è la versione .NET Framework 4.6. Otterrà il supporto esteso a ottobre 2025, quando il sistema operativo raggiungerà la fine del suo ciclo di vita.

Si consiglia agli sviluppatori .NET di migrare le proprie app almeno a .NET Framework 4.6.2 o versioni successive prima del 26 aprile 2022 in modo che possano continuare a ricevere gli aggiornamenti di sicurezza e il supporto tecnico.

Gli sviluppatori che hanno già distribuito .NET Framework 4.6.2 o versioni successive devono solo aggiornare il runtime su cui le app stanno eseguendo la versione 4.6.2. .NET Framework 4.6.2 e .NET Framework 4.8 sono entrambi runtime stabili e compatibili con le sostituzioni sul posto.

 Damkewala ha aggiunto: “Se la tua applicazione è stata creata per target .NET Framework 4 – 4.6.1, dovrebbe continuare a funzionare su .NET Framework 4.6.2 e versioni successive senza alcuna modifica nella maggior parte dei casi.

“Detto questo, ti consigliamo vivamente di verificare che la funzionalità della tua app non sia influenzata durante l’esecuzione sulla versione più recente del runtime prima di distribuire il runtime aggiornato nel tuo ambiente di produzione.”

La probabile ragione per cui Microsoft ha ritirato queste versioni è che sono firmate digitalmente con certificati che utilizzano l’algoritmo di hashing crittografico SHA-1 legacy e non sicuro.

Un rapporto pubblicato dagli esperti di sicurezza nel 2010 sulla vulnerabilità di SHA-1 agli attacchi di collisione ha affermato che consentono agli attori malintenzionati di falsificare certificati digitali per impersonare aziende o siti Web.

Possono essere utilizzati in società di spoofing, aggiungendo legittimità ai messaggi di phishing o in attacchi made in the middle per curiosare nella sessione di rete crittografata.

Dal 9 maggio, i servizi e i processi Microsoft utilizzeranno esclusivamente l’algoritmo SHA-2.

Microsoft ha già ritirato il contenuto SHA-1 firmato da Windows dall’Area download Microsoft nell’agosto 2020.

La cosa degna di nota è che Microsoft supporta solo contenuti firmati SHA-2 per i contenuti ufficiali. Tuttavia, gli eseguibili di Windows firmati utilizzando certificati aziendali o autofirmati SHA-1 installati manualmente possono ancora essere eseguiti nel sistema operativo.