Auf der argentinischen Konferenz Ekoparty haben Hacker eine Sicherheitslücke in Microsofts ASP.Net vorgeführt. Juliano Rizzo und Thai Duong demonstrierten, wie sich ein Fehler in ASP.Net dazu verwenden lässt, Session Cookies oder andere verschlüsselte Daten zu lesen. Im weiteren können Angreifer Administrator-Rechte der betroffenen Webanwendungen erlangen und geschützte Dateien wie beispielsweise "web.config" lesen.

Betroffen sind alle Versionen von ASP.Net auf Windows XP Service Pack 3, Server 2003 bis 2008 R2 und Windows 7, genauso wie IIS und Sharepoint Server. Mehr Informationen zu der Sicherheitslücke gibt das Microsoft Security Advisory (2416728), das auch einen Workaround beschreibt, bis Microsoft die Lücke mit einem Patch schließen wird. Außerdem hat Microsoft zu dem Problem eigens ein Forum eingerichtet. Mehr Informationen finden sich auch im Blog von Microsoft-Mitarbeiter Scott Guthrie. In einem Technet-Blog gibt es ein Tool, das testet, ob eine Site von der Lückeb betroffen ist.