Wie Sicherheitsforscher von Security Explorations mitgeteilt haben, befinden sich in Google App Engine mehrere schwerwiegende Sicherheitslücken. Betroffen ist die Java-Umgebung. Die Google App Engine ist die Platform-as-a-Service-Lösung (PaaS) des Unternehmens und damit ein Teil der Google Cloud Platform. Mit ihr können Nutzer eigene Anwendungen ausführen. Zudem unterstützt die Lösung zahlreiche Programmiersprachen und Frameworks. Davon basieren viele auf der Java-Umgebung.
Googles Vorgehen sei nicht unbegründet und Security Explorations räumt Versäumnisse ein. “Das ist ohne Zweifel ein Fehler auf unserer Seite. Diese Woche haben wir etwas aggressiver in der zugrunde liegenden OS-Sandbox herumgestochert und verschiedene Systemaufrufe gestartet, um mehr über den Fehlercode 202 und die Sandbox selbst zu erfahren.”
Das Sicherheitsunternehmen hofft nun, dass Google es ermöglicht, die Versuche fortzuführen. Generell unterstütze der Internetkonzern die Bemühungen von Sicherheitsforschern.
Die Google App Engine ermöglicht nur den Zugriff auf einen Teil der Klassen der JRE Standard Edition, die JRE Class White List genannt werden. Die Forscher konnten allerdings, diese Whitelist verlassen und auf alle Klassen der Java Runtime Environment (JRE) zugreifen. Insgesamt entdeckten sie 22 Bugs in der Sandbox, von denen sie 17 benutzen konnten, um nativen Code außerhalb der Sandbox auszuführen.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Das finnische Facility-Service-Unternehmen ISS Palvelut hat eine umfassende Transformation seiner Betriebsabläufe und IT-Systeme eingeleitet.
PDFs werden zunehmend zum trojanischen Pferd für Hacker und sind das ideale Vehikel für Cyber-Kriminelle,…
Laut Teamviewer-Report „The AI Opportunity in Manufacturing“ erwarten Führungskräfte den größten Produktivitätsboom seit einem Jahrhundert.
Microsoft erobert zunehmend den Markt für Cybersicherheit und setzt damit kleinere Wettbewerber unter Druck, sagt…
Nur 14 Prozent der Führungskräfte in der IT sind weiblich. Warum das so ist und…
Obwohl ein Großteil der Unternehmen regelmäßig Backups durchführt, bleiben Tests zur tatsächlichen Funktionsfähigkeit häufig aus.