Как сообщают немецкая компания Sentry-Labs, в программном ядре поисковой системы Lycos обнаружено уязвимое место, представляющее серьёзную угрозу для её пользователей.

Картинка к новости 'Поисковая система Lycos содержит уязвимое место, представляющее серьёзную угрозу для её пользователей'

Как известно, для отображения некоторых символов в HTML приходится применять специальные кодовые слова, так называемые entities. Например, чтобы отобразить на веб-странице знаки < или > приходится писать "&lt;" или "&gt;". Дело в том, что сами эти символы имеют в HTML совсем другой смысл (например, упомянутые выше < и > окружают тэги, размечающие текст). Именно с этой особенностью HTML связана найденная в Lycos ошибка.

Выдавая результаты поиска, поисковая система выдаёт и часть текста страницы. При этом Lycos переводит entities в то, что они должны бы были представлять, и безобидный текст, который лишь в браузере должен был бы выглядеть похожим на код HTML, превращается в настоящий код - например, код Javascript.

Проблема обнаружилась совершенно случайно. "Разыскивая модуль для выполнения http-запросов из языка Perl для нового проекта, я заметил некоторое действительно странное поведение программного ядра Lycos", - рассказывает один из специалистов Sentry-Labs. В одном из результатов поиска, ведшем на сайт компании Digital Computing System, помимо текста, находилось поле ввода (см. иллюстрацию).

Конечно, у Digital Computing System не было никакого злого умысла - просто найденная специалистом Sentry-Labs страница содержала учебный текст по программированию для Веб. Однако, если учесть количество уязвимых мест в распространённых браузерах и операционных системах, в первую очередь, в Internet Explorer и Windows, можно представить, каких бед может натворить некий злоумышленник. Всего лишь пару недель назад болгарский специалист по безопасности Георгий Гунинский сообщал, что ошибки в Office XP позволяют хакеру через Internet Explorer в два счёта заполучить полный доступ к чужому компьютеру.

В случае если на сервере поисковой системы используется распространённый скриптовый язык PHP (стоит ли он у Lycos, неизвестно), то дела могут обернуться ещё хуже - на этот раз для владельцев поисковика. С его помощью злоумышленник сможет получить доступ к командной строке на сервере поисковой системы.

Не исключено (хотя и пока не подтверждено), что подобные "дыры" можно найти и в других поисковиках.