Internet Information Services（IIS）がASP Webページへの入力を処理する方法に脆弱性が存在する。細工された入力がASP Webページに行われると、任意のコードが実行される危険性がある。攻撃は、既存のASP Webページに細工された入力を行うか、ASP Webページをアップロードすることで実行される。ASP Webページのアップロードには、一般的にサーバの有効なログオン権限が必要になる（アップロードに認証が必要）が、匿名によるWebコンテンツのアップロードを許可している場合は危険性が高い。

　マイクロソフトによれば、MS08-006の脆弱性は非公開で報告されたとしており、実証コードや攻撃例は確認されていないという。しかし脆弱性が明らかになったことから、実証コードが公開される可能性が高くなっている。特にインターネットに公開しているWebサーバの場合は、攻撃を受けるとコンピュータの制御が奪われてしまうなど、甚大な被害が生じる危険性がある。なるべく早く修正プログラムを適用した方がよい。またクライアントPCであっても、開発やテストを目的としてIISのWWWサービスを有効にしている場合は、脆弱性の影響を受けるので修正プログラムの適用が必要になる。

　ASPは、サーバ・サイドのスクリプト技術で、対話的なWebアプリケーションが動的に作成できる。ASPには、サーバ側で処理されるスクリプトが含まれており、ユーザーのブラウザへHTMLが送信される前に、IISによって処理が行われる。この過程に予期しないエラーを引き起こす脆弱性が存在する。ASP Webページに細工された入力が行われると、脆弱性が悪用され、任意のコードが実行されてしまう。

　なおWindows 2000 SP4、Windows Vistaは、この脆弱性の影響を受けない。

■適用テストの結果
　DA Labでは、以下のプラットフォームで修正プログラムの適用テストを行った。

■MBSA 2.0.1の結果
　MS08-006の修正プログラムが正しく適用されているかどうかは、MBSA 2.0.1で確認可能だ。未適用の場合は、「Windowsのセキュリティの更新」の「結果の詳細情報」に、Windows OSによって以下のいずれかが表示される。

• Windows XP 用セキュリティ更新プログラム (KB942830)
• Windows Server 2003 用セキュリティ更新プログラム (KB942830)

■IISのWWWサービスがインストールされている場合のみ修正プログラムの適用が可能
　MS08-006の脆弱性は、IISのWWWサービスがインストールされている場合のみ影響を受ける。そのため、MS08-006の修正プログラムはWWWサービスがインストールされている場合のみ適用可能となっている。

　例えばIISでFTPサーバのみをインストールしてある場合、MS08-006の修正プログラムは適用できないので注意が必要だ。

　修正プログラムが正しく適用できたかどうかは、以下のレジストリ・キーにある値を調べることで確認できる。

・Windows XP Professional SP2＋IIS 5.1：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP3\KB942830\Filelist以下のファイル一覧を確認する

・Windows Server 2003 SP1／R2／SP2＋IIS 6.0：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP3\KB942830\Filelist以下のファイル一覧を確認する

・Windows XP Professional SP2＋IIS 5.1：
［展開ビュー］−［IIS］タブに「名前：WindowsXP-KB942830-x86-JPN.exe」で登録

・Windows Server 2003 SP1／R2／SP2＋IIS 6.0：
［展開ビュー］−［IIS］タブに「名前：WindowsServer2003-KB942830-x86-JPN.exe」で登録