Microsoft ha rilasciato tre patch per ASP.NET attraverso un bulletin, che corregge tre problemi.

Uno un po' più grave consente, se si fa girare il sito web con un utente con privilegi elevati, di ravanare nel disco del server, spiegato qui ed uno sul PE (qui) e nel JIT-er (qui) che sruttando i privilegi dell'utente con cui gira ASP.NET (che si sa, è tradizionalmente un administrator...) consente di creare utenti o fare altre cosette simpatiche in base ai privilegi. Le versioni di ASP.NET affette sono la 1.0, la 1.0 e la 2.0. Ovviamente, dato che il .NET Framework 3.0 non ha ASP.NET, questa versione del .NET Framework ne è immune.

Senza ripetere ancora una volta le solite cose, tipo che ogni sito web ed ogni application pool devono e, sottolineo, devono avere un utente esclusivo e non condividerne un solo, con le ACL appositamente impostate, per difendersi, come è ovvio che sia, basta applicare da subito le patch.