MBSA mostra que o servidor precisa do .NET 3.5, mas o servidor já tem o .NET 4.0 instalado

.NET 3.0/3.5/3.5 SP1 eram DLL/adições/otimizações de recursos no topo do .NET 2.0.

Internamente, todas essas versões do .NET usam o mesmo executável CLR (Common Language Runtime) principal. Portanto, apenas a presença do .NET 2.0 SP2 em sua máquina é suficiente para expor a vulnerabilidade que o MBSA está sinalizando.

Com o .NET 4.0, a Microsoft reescreveu o CLR, criando um novo executável separado. Se você tivesse apenas 4.0 na máquina, provavelmente não seria sinalizado para este patch.

Este artigo do TechNet explica um pouco a relação entre .NET 2.0 e 3.0/3.5/3.5 SP1:
Visão geral dos recursos do .NET Framework 3.5.1

Scott Hanselman faz um excelente trabalho explicando o controle de versão do .NET em seu blog:

Controle de versão e multidirecionamento do .NET - o .NET 4.5 é uma atualização local para o .NET 4.0.

Resumindo, o .NET 3.5 é uma atualização local para o .NET 2, por isso precisa ser instalado. Ele também tem outra entrada de blog que, embora centrada no IIS, contém ótimas informações explicando o relacionamento entre o .NET 2.0 e o .NET 3.5.

Como configurar um aplicativo IIS ou AppPool para usar ASP.NET 3.5 em vez de 2.0

As verificações de vulnerabilidade apresentam alguns problemas: falsos positivos e falsos negativos.

É por isso que você sempre precisa verificar os resultados e porque existe uma indústria próspera em testes de penetração adequados, além de verificação de vulnerabilidades.

Geralmente, o MBSA é muito bom em resolver dependências, então talvez você tenha partes do .NET instaladas como parte de um de seus aplicativos.

Cada versão principal diferente do .net (2.0, 3.0, 3.5, 4.0) é totalmente separada e requer seu próprio conjunto de atualizações. Se você tiver um aplicativo que usa o .NET 3.5, ainda precisará do 3.5, mesmo se tiver o 4.0.

Você precisa instalar as atualizações de segurança para TODAS as versões do .NET instaladas. SE você não estiver usando o .NET 3.5, você pode desinstalá-lo