Assez rapidement, Microsoft a également confirmé les premières attaques jugées limitées et a publié un avis de sécurité : " un attaquant peut voir des données telles que ViewState ( mais aussi des cookies ), chiffrées par le serveur cible, ou lire des données à partir de fichiers sur le serveur cible comme des fichiers Web.config. L'attaquant peut falsifier le contenu des données. En renvoyant le contenu modifié à un serveur affecté, il peut observer les codes d'erreur renvoyés par le serveur ".
Pour combler cette faille, Microsoft a procéder à la publication en urgence d'un correctif, sans attendre donc le prochain Patch Tuesday. Ce correctif est à destination de toutes les versions de .NET Framework lorsqu'il est utilisé sur les systèmes d'exploitation Windows Server. Dans le bulletin de sécurité MS10-070, on pourra constater que tous les systèmes Windows de bureau sont affectés dont XP, Vista et 7, mais la vulnérabilité n'est effective que dans le cadre de l'exécution d'un serveur Web.
La mise à jour n'est pour le moment uniquement disponible que dans le centre de téléchargement de Microsoft. Elle sera diffusée ultérieurement par le biais des services Windows Update et Windows Server Update. Un choix assez surprenant mais qui a probablement dû permettre une publication plus rapide. Gage aux administrateurs concernés notamment de déployer la mise à jour manuellement.
MàJ : le correctif a intégré les services de mise à jour automatique jeudi.
