Microsoft подтверждает дыру в безопасности ASP.NET. Уязвимость, которая была обсуждена не конференции по безопасности в Аргентине, реализация шифрования может позволить атакующему дешифровать и получить доступ к данным. Слабое место обнаружилось в объекте ViewState. Если ASP.NET приложение использует ASP.Net 3.5 SP1 или выше, атакующий мог бы использовать уязвимость шифрования, чтобы запросить содержание произвольного файла в пределах ASP.NET приложения. На конференции было продемонстрированно как использовать этот метод, чтобы получить содержание web.config. Любой файл в ASP.NET приложении, к которому у рабочего процесса есть доступ, будет возвращен атакующему. В Microsoft заявили, что не знают об атаках, которые пытаются использовать эту уязвимость.

Согласно Хулиано Риццо, который раскрыл эту уязвимость, атакующий, может легко дешифровать cookie, формы аутентификации , пароли, пользовательские данные, и что-либо еще, что было зашифровано с использованием API ASP.NET платформы. Риццо сказал, что использованные уязвимости влияют на платформу, используемую 25 процентами Веб-сайтов в Интернете.