Ett säkerhetshål gör att man kan komma åt en applikations kryptonyckel som används för att skapa authentierings-cookies och utifrån det så kan man t.ex. logga in som vilken användare som helst i en .Net-applikation som använder sig av sådana, här är ett live-exempel på hur man blir superuser på valfri DotNetNuke-site: http://www.youtube.com/watch?v=yghiC_U2RaM
Här beskrivs hålet närmare: http://threatpost.com/en_us/blogs/new-crypto-attack-affects-millions-aspnet-apps-091310
Här diskuteras problemet och eventuella workarounds på en utmärkt programmerarsite:
http://stackoverflow.com/questions/3720720/how-serious-is-this-new-asp-net-security-vulnerability-and-how-can-i-workaround-i
Inte bara ASP.Net sårbart
Säkerhetshålet existerar inte enbart i ASP.Net, utan upptäcktes först i JSF (Java Server Faces) framework. Det existerar även i Java.
EDIT: Nu har det kommit en patch från microsoft,
Jag rekommenderar alla att köra den om den inte kommer med windows update automatiskt.
http://www.microsoft.com/technet/security/bulletin/ms10-070.mspx