WebClientサービスに未チェック・バッファの脆弱性が存在し、WebDAV経由で細工されたリクエストを受信すると、リモートで任意のコードが実行される危険性がある。WebClientは、インターネット経由でファイルを作成したり修正したりするために利用されるサービスだ。WebClientの脆弱性は、MS05-028でも報告・解消されているが、MS06-008のはそれとは異なる脆弱性である。このMS05-028のときは、Windows XP SP2とWindows Server 2003 SP1は脆弱性の影響は受けないとされていたが、MS06-008の脆弱性は影響を受けるので注意が必要だ。

　この攻撃を実行するためには、攻撃対象となるコンピュータの有効なログオン資格情報を所有していることが条件になるとしている。そのため、匿名ユーザーがリモートでこの脆弱性を悪用することは困難である。ただしWindows XP SP未適用／SP1／SP1aでは、「簡易ファイルの共有」機能が有効である場合、ネットワークを介してアクセスするすべてのユーザーに対してguestアカウントが利用される（このアカウントを「ForceGuest」と呼ぶ）。「簡易ファイルの共有」機能が有効になっていると、guestアカウント（匿名アカウント）で今回の脆弱性を攻撃することが可能なので注意する必要がある。

　マイクロソフトによれば、MS06-008の脆弱性は非公開で報告されたとしており、実証コードや攻撃例は確認されていないという。すぐにウイルスやワームなどに悪用されることはないと思われるが、リモートで任意のコードが実行できる脆弱性なので、早期に修正プログラムを適用すべきだ。

　WebClientは、インターネット上のドキュメントにWin32アプリケーションがアクセスし、ファイルの作成／修正／削除を行えるようにWindows OSの機能を拡張するためのサービスである。Windows XPではデフォルトでサービスが開始されるように設定されている（Windows Server 2003のデフォルトは無効）。

　この脆弱性は、WebDAVメッセージを処理する過程のWebClientサービスに未チェック・バッファが存在することに起因する。細工されたメッセージをWebClientサービスが受け取ると、任意のコードが実行される。前述のように、攻撃には有効なログオン資格情報が必要なので、通常、匿名攻撃は受けない。ただし「Guest」アカウントが有効になっているコンピュータは例外である。修正プログラムの適用と同時に、Guestや使用していないログオン・アカウントが有効になっていないことを確認しておいた方がよい。

■適用テストの結果
　DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。

■MBSA 2.0の結果
　修正プログラムが正しく適用されているかどうかは、MBSA 2.0で確認可能だ。未適用の場合は、「Windowsのセキュリティの更新」の「結果の詳細情報」に「｛Windows XP／Windows Server 2003｝ 用セキュリティ更新プログラム (KB911927)」が表示される。参考までにMBSA 1.21では「WebClient サービスの脆弱性により、リモートでコードが実行される (911927)」が表示される。

　修正プログラムが正しく適用できたかどうかは、以下のレジストリ・キーにある値あるいはファイルのバージョンを調べることで確認できる。

・Windows XP SP1／SP1a／SP2：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP3\KB911927\Filelist以下のファイル一覧を確認する

・Windows Server 2003 SP未適用／SP1：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP2\KB911927\Filelist以下のファイル一覧を確認する

・Windows XP SP1／SP1a／SP2：
［展開ビュー］−［OS］タブに「名前：WindowsXP-KB911927-x86-JPN.exe」で登録

・Windows Server 2003 SP未適用／SP1：
［展開ビュー］−［OS］タブに「名前：WindowsServer2003-KB911927-x86-JPN.exe」で登録