Google App Engine enthält über 30 Sicherheitslücken

Wie Sicherheitsforscher von Security Explorations mitgeteilt haben, befinden sich in Google App Engine mehrere schwerwiegende Sicherheitslücken. Betroffen ist die Java-Umgebung. Die Google App Engine ist die Platform-as-a-Service-Lösung (PaaS) des Unternehmens und damit ein Teil der Google Cloud Platform. Mit ihr können Nutzer eigene Anwendungen ausführen. Zudem unterstützt die Lösung zahlreiche Programmiersprachen und Frameworks. Davon basieren viele auf der Java-Umgebung.

Google App Engine (Bild: Google)Die Schwachstellen lassen sich ausnutzen, um Schadcode einzuschleusen und auszuführen. Den Forschern zufolge können Angreifer dabei die Sicherheitsfunktionen der Sandbox der Java Virtual Machine vollständig umgehen. In der Lösung sollen sich über 30 sicherheitsrelevante Fehler befinden. Die Test hätten sie nicht abschließen könne, da Google ihr Testkonto für die Google App Engine deaktiviert habe, so die Forscher weiter.

Googles Vorgehen sei nicht unbegründet und Security Explorations räumt Versäumnisse ein. “Das ist ohne Zweifel ein Fehler auf unserer Seite. Diese Woche haben wir etwas aggressiver in der zugrunde liegenden OS-Sandbox herumgestochert und verschiedene Systemaufrufe gestartet, um mehr über den Fehlercode 202 und die Sandbox selbst zu erfahren.”

Das Sicherheitsunternehmen hofft nun, dass Google es ermöglicht, die Versuche fortzuführen. Generell unterstütze der Internetkonzern die Bemühungen von Sicherheitsforschern.

Die Google App Engine ermöglicht nur den Zugriff auf einen Teil der Klassen der JRE Standard Edition, die JRE Class White List genannt werden. Die Forscher konnten allerdings, diese Whitelist verlassen und auf alle Klassen der Java Runtime Environment (JRE) zugreifen. Insgesamt entdeckten sie 22 Bugs in der Sandbox, von denen sie 17 benutzen konnten, um nativen Code außerhalb der Sandbox auszuführen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

Low Code, High Impact: Transformation von ISS Palvelut

Das finnische Facility-Service-Unternehmen ISS Palvelut hat eine umfassende Transformation seiner Betriebsabläufe und IT-Systeme eingeleitet.

16 Stunden ago

Vorsicht vor verseuchten PDFs

PDFs werden zunehmend zum trojanischen Pferd für Hacker und sind das ideale Vehikel für Cyber-Kriminelle,…

17 Stunden ago

KI transformiert die Fertigungsindustrie

Laut Teamviewer-Report „The AI Opportunity in Manufacturing“ erwarten Führungskräfte den größten Produktivitätsboom seit einem Jahrhundert.

2 Tagen ago

Hat die zunehmende Dominanz von Microsoft in der IT-Security Folgen?

Microsoft erobert zunehmend den Markt für Cybersicherheit und setzt damit kleinere Wettbewerber unter Druck, sagt…

4 Tagen ago

Frauen in IT-Führungspositionen stark unterrepräsentiert

Nur 14 Prozent der Führungskräfte in der IT sind weiblich. Warum das so ist und…

4 Tagen ago

Drei Viertel aller deutschen KMUs testen ihre Backups nicht regelmäßig

Obwohl ein Großteil der Unternehmen regelmäßig Backups durchführt, bleiben Tests zur tatsächlichen Funktionsfähigkeit häufig aus.

4 Tagen ago