Dalla RTM è la seconda vulnerabilità che viene corretta in ASP.NET 2.0. La prima era ancora meno grave, dato che riguardava la protezione delle estensioni non ancora mappate sotto la directory /App_Data/.

Comunque, questa tappa una vulnerabilità di tipo XSS (Cross Site Scripting) sull'AutoPostBack. Ora, non essendo così diffusi i controlli che ne fanno uso (ed essendo opzionale), ovviamente il livello di gravità di questa vulnerabilità non è altissimo.

XSS e SQL Injection sono praticamente le due cause di vulnerabilità più diffuse in applicazioni web ed in genere nei corsi è la parte dove vedo davvero chi mi segue attenta e con un po' di preoccupazione. Purtroppo non c'è ancora un approccio completo ed organico alla sicurezza delle applicazioni web.

Ad ogni modo, se questo può servire a togliere dei dubbi, il fatto che la fix venga distribuita attraverso Windows Update e compagnia è un dettaglio di non poco conto, perchè consente di tenere ASP.NET in perfetto aggiornamento praticamente senza fare nient'altro.