SQLインジェクションの攻撃について、MicrosoftはIIS自体の脆弱性じゃないかという疑問にNOと解凍しています。

正規サイトに不正コードを仕掛けて悪質サイトに誘導するSQLインジェクション攻撃が再び猛威を振るっている問題で、Microsoftは25日、同社のWebサーバソフトウェア「Internet Information Services (IIS)」 とこの攻撃を関連付ける説を否定した。
一部報道では、不正コードを仕掛けられたのはIIS 6.0を使っているWebサイトで、Microsoftが17日に情報を公開したWindowsの未パッチの脆弱性（アドバイザリー951306）が悪用された可能性もあると伝えられていた。