漏洞原理：
chm帮助文件可以通过ActiveX控件调用进行信息交换，当我们进行不正常的加载帮助文件时，造成了漏洞的产生。
我们用最简单的最安全的使用最广的微软内置程序记事本看看，你可能不清楚小小的一个txt文件被打开时在本地磁盘和NetBIOS中的分额，当用户进行信息交互时，如果改文件是在远程网络共享，微软说，chm文件运行在一个安全区域，而本地计算机不会做其他的工作，但是，这部分正确，在一个表的内容资料的交换机制中，本地”的对象指向一个标记参数JavaScript的网址，当用户点击时，JavaScript URL是下一个本地HTML文件中，该HTML帮助执行，用来显示一个错误页面（res：/ / ieframe.dll / navcancl.htm），这意味着脚本代码在本地计算机安全区，所以可以任意代码执行.
我本次测试了一翻
测试1
放在一个Web服务器的start.htm和使用IE访问它。它会打开一个默认的共享（\ \ 127.0.0.1 \ c $）

测试2点开local里面的notepad的帮助文件，弹出cmd和计算器

EXP下载地址：http://down.qiannao.com/space/file/qiannao/share/2010/3/20/EXP.rar/.page