Поддержать TUT.BY
144 дня за решеткой. Катерина Борисевич
Коронавирус: свежие цифры
  1. Белорусов обяжут регистрировать валютные договоры. Кого коснется и как накажут забывчивых
  2. Мининформ прекратил вещание телеканала Euronews в Беларуси
  3. Уголовные дела на руководителей BYSOL и исчезновение Александра Федуты. Что происходит 12 апреля
  4. СМИ опубликовали разговоры подозреваемого по делу MH17 в день трагедии
  5. «Ребенок неудачно упал и оказался в коме». История Веры, которая работает в детском хосписе
  6. Врач рассказывает, по каким симптомам узнать пневмонию
  7. Это последние дни, за которыми что-то наступит. Чалый рассуждает о настроениях разных белорусов
  8. Автозадачка на выходные. Простая ситуация на перекрестке, но мало кто справится
  9. Сколько стоит тур на море в этом году и где можно отдохнуть в Беларуси? Интервью с экспертом туризма
  10. Я живу в 25 км от центра Европы. Как семья на хуторе в глуши среди леса делает сыры по рецептам ВКЛ
  11. Тысячи сотрудников «Нафтана» и «Гродно-Азота» могут не получить допуск к работе по медицинским показаниям
  12. Самые теплые, крепкие и дешевые стены: сравнили газосиликат, керамзитобетон и керамические блоки
  13. На основателей Фонда солидарности BYSOL завели уголовное дело
  14. С 13 апреля снова дорожает автомобильное топливо
  15. Как не пропустить рак легкого? Главное о здоровье за неделю
  16. Льняное масло: особенности применения, о которых нужно знать
  17. Теплое начало недели, а потом — похолодание. Прогноз погоды на ближайшие дни
  18. Секондам запретили продавать новые вещи. Как рынок б/у одежды отреагировал на нововведение
  19. Кого государство назвало причастными к террористической деятельности после выборов-2020? Инфографика
  20. «Ура, Гагарин в космосе!» Как дети на «гродненском космодроме» запустили в небо мини-копию ракеты
  21. Владимир Макей: «Сегодня никто не спорит, что Александр Лукашенко выиграл выборы»
  22. «Чем ниже спускаешься, тем больше горя». Жители домов над «Октябрьской» — о теракте в метро и фото, сделанных сразу после взрыва
  23. Можно ли отсрочить климакс? Гинеколог отвечает на важные вопросы
  24. Бывшая жена Ивана Вабищевича: «Когда увидела интервью Вани о нашем расставании, у меня был шок»
  25. «Этот магазин для всех». В Минске открывается гастромаркет FishFood, где закупаются рестораны
  26. Белорусов стали массово приглашать на вакцинацию от коронавируса. Узнали, как проходит процедура
  27. Начался суд по делу о наезде BMW на силовиков 11 августа. Водителю грозит до 25 лет тюрьмы
  28. Крупных промышленных должников собрались оздоравливать через спецагентство
  29. Как река превращается в море. Большая вода на Полесье
  30. На какие курорты из Беларуси у туроператоров этим летом запланированы полеты?


Как сообщают немецкая компания Sentry-Labs, в программном ядре поисковой системы Lycos обнаружено уязвимое место, представляющее серьёзную угрозу для её пользователей.

Как известно, для отображения некоторых символов в HTML приходится применять специальные кодовые слова, так называемые entities. Например, чтобы отобразить на веб-странице знаки < или > приходится писать "<" или ">". Дело в том, что сами эти символы имеют в HTML совсем другой смысл (например, упомянутые выше < и > окружают тэги, размечающие текст). Именно с этой особенностью HTML связана найденная в Lycos ошибка.

Выдавая результаты поиска, поисковая система выдаёт и часть текста страницы. При этом Lycos переводит entities в то, что они должны бы были представлять, и безобидный текст, который лишь в браузере должен был бы выглядеть похожим на код HTML, превращается в настоящий код - например, код Javascript.

Проблема обнаружилась совершенно случайно. "Разыскивая модуль для выполнения http-запросов из языка Perl для нового проекта, я заметил некоторое действительно странное поведение программного ядра Lycos", - рассказывает один из специалистов Sentry-Labs. В одном из результатов поиска, ведшем на сайт компании Digital Computing System, помимо текста, находились поле ввода.

Конечно, у Digital Computing System не было никакого злого умысла - просто найденная специалистом Sentry-Labs страница содержала учебный текст по программированию для Веб. Однако, если учесть количество уязвимых мест в распространённых браузерах и операционных системах, в первую очередь, в Internet Explorer и Windows, можно представить, каких бед может натворить некий злоумышленник. Всего лишь пару недель назад болгарский специалист по безопасности Георгий Гунинский сообщал, что ошибки в Office XP позволяют хакеру через Internet Explorer в два счёта заполучить полный доступ к чужому компьютеру.

В случае если на сервере поисковой системы используется распространённый скриптовый язык PHP (стоит ли он у Lycos, неизвестно), то дела могут обернуться ещё хуже - на этот раз для владельцев поисковика. С его помощью злоумышленник сможет получить доступ к командной строке на сервере поисковой системы.

Не исключено (хотя и пока не подтверждено), что подобные "дыры" можно найти и в других поисковиках.
-20%
-50%
-20%
-10%
-50%
-10%
-40%
-10%
-20%
-30%