Выполнение произвольного кода без Active Scripting или ActiveX

В начале января я писал о возможности выполнения произвольных программ используя ActiveX компоненты (http://securitylab.ru/?ID=27981).

Теперь найдена возможность динамически вставить HTML код без использования каких либо Active Scripting. Т.е. становится возможным использовать эту ошибку в более "защищенных" средах, с заблокированным ActiveX и Active Scripting. Одна из особенностей, в IE, называется Data Binding; она дает возможность разработчикам полностью отделить любые прикладные данные от уровня представления. Источники данных (DSO) для Data Binding могут быть любыми - CSV файлы (с TDC), HTML, XML и т.п.. Data binding связывает HTML элементы (потребители данных) типа div или span к DSO без потребности в создании сценария.

Когда признак "dataFormatAs" установлен к "HTML" на потребителе данных, Data Binding использует innerHTML, чтобы вставлять данные в элемент (иначе используется innerText).

Все что мы должны теперь сделать – снабдить DSO, который содержит элемент <object>, остальное сделает за нас Data Binding, без создания какого либо сценария.

В следующем примере, мы используем XML источник данных как наш DSO и span элемент как потребитель данных. Использование XML особенно удобно, потому что он может быть внедрен в пределах документа, без потребности во внешних запросах, которые могут быть остановлены ведущим приложением.

Уязвимость найден а IE 5.0-6.0