Google App Engine enthält über 30 Sicherheitslücken
Sicherheitsforscher haben die Schwachstellen in der Java-Umgebung von Google App Engine entdeckt. Sie erlauben das Einschleusen uns Ausführen von Schadcode außerhalb der Sandbox. Das Testkonto der Firma Security Explorations hat Google mittlerweile deaktiviert.
Wie Sicherheitsforscher von Security Explorations mitgeteilt haben, befinden sich in Google App Engine mehrere schwerwiegende Sicherheitslücken. Betroffen ist die Java-Umgebung. Die Google App Engine ist die Platform-as-a-Service-Lösung (PaaS) des Unternehmens und damit ein Teil der Google Cloud Platform. Mit ihr können Nutzer eigene Anwendungen ausführen. Zudem unterstützt die Lösung zahlreiche Programmiersprachen und Frameworks. Davon basieren viele auf der Java-Umgebung.
Die Schwachstellen lassen sich ausnutzen, um Schadcode einzuschleusen und auszuführen. Den Forschern zufolge können Angreifer dabei die Sicherheitsfunktionen der Sandbox der Java Virtual Machine vollständig umgehen. In der Lösung sollen sich über 30 sicherheitsrelevante Fehler befinden. Die Test hätten sie nicht abschließen könne, da Google ihr Testkonto für die Google App Engine deaktiviert habe, so die Forscher weiter.
Googles Vorgehen sei nicht unbegründet und Security Explorations räumt Versäumnisse ein. “Das ist ohne Zweifel ein Fehler auf unserer Seite. Diese Woche haben wir etwas aggressiver in der zugrunde liegenden OS-Sandbox herumgestochert und verschiedene Systemaufrufe gestartet, um mehr über den Fehlercode 202 und die Sandbox selbst zu erfahren.”
Das Sicherheitsunternehmen hofft nun, dass Google es ermöglicht, die Versuche fortzuführen. Generell unterstütze der Internetkonzern die Bemühungen von Sicherheitsforschern.
Die Google App Engine ermöglicht nur den Zugriff auf einen Teil der Klassen der JRE Standard Edition, die JRE Class White List genannt werden. Die Forscher konnten allerdings, diese Whitelist verlassen und auf alle Klassen der Java Runtime Environment (JRE) zugreifen. Insgesamt entdeckten sie 22 Bugs in der Sandbox, von denen sie 17 benutzen konnten, um nativen Code außerhalb der Sandbox auszuführen.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.