(http://www.epochtimes.com)
【大紀元8月7日訊】 一位專門跟蹤bug的專業人士指出,Lycos的搜索引擎中存在一個嚴重的bug,可使惡意的网頁造成用戶PC的崩潰。
據賽迪网報道﹐Lycos搜索引擎生成搜索結果网頁HTML代碼的方法可能使Java Script腳本在Lycos和用戶都不知情的情況下運行。該bug可以用來彈出垃圾彈出式窗口或運行惡意的Java Script代碼,使用戶的PC机崩潰。
据稱,當在网頁中使用&標記對HTML標志進行注解時,Lycos搜索引擎將它看作是HTML代碼而不是注解,這意味著彈出式窗口廣告將被Lycos的搜索引擎認為是向用戶發送彈出式窗口廣告的代碼。
在正常的HTML代碼中,開發人員如果想給出HTML的標志而不想讓瀏覽器把它認為是正常的代碼,就會使用“<”和“>”,例如,一個BODY標志將被寫成“”。
黑客可以利用這一bug,讓在Lycos搜索引擎的結果网頁上運行JavaScript。黑客只要用&符號標出一個Java Script指針,然后把它放在网頁的頂端。如果使用Lycos搜索引擎的用戶是第一次遇到這一搜索結果网頁,從理論上講,惡意的Java Script腳本就會開始執行。
据稱,Lycos在7月中旬就得到了有關這一問題的通報,但直到現在還沒有改正。但此前有報道稱,Lycos正在修复這一問題。(http://www.dajiyuan.com)
相關文章
