Több mint 30 biztonsági rés kapcsolódik a Google egyik platformjához

Egy neves biztonsági szakember, a Security Explorations alapítója és vezetője, Adam Gowdiak december hatodikán a közkedvelt és tekintélyes levelezési listán, a Full Disclosure-ön jelentette be, hogy a Google App Engine (GAE) platformszolgáltatásának Java-környezetében olyan sérülékenységeket tártak fel, melyek alkalmasak arra, hogy egy biztonsági vonalat, az úgynevezett homokozót (sandbox) támadók meg tudják kerülni. Méghozzá nem is kevés résről van szó: a bejelentés szerint csapatánál több mint harmincat számoltak össze.

Hirdetés

A sokak által használt felhős szolgáltatást, a Google App Engine-t arra találták ki, hogy segítsék és támogassák a webes alkalmazások fejlesztőit. A leggyakrabban használt programnyelveket és keretrendszereket támogató PaaS-szolgáltatás (Platform as a Service) népszerű a programozók körében, és most ebben a rendszerben a Java-környezetben fedték fel a a tetszőleges kódok futtatását megkönnyítő sebezhetőségeket.

A leírás szerint a rések lehetővé teszik, hogy valaki megkerülje a JRE Classes által engedélyezett művelettiltásokat (vagyis nemcsak az engedélyezési listán szereplő akciókat hajthatják végre), és teljes hozzáférést szerezhetnek a futtatási környezethez (Java Runtime Environment – JRE). 17 esetben sikeres exploitokat készítettek a sebezhetőség tesztelésére. A rések kihasználásával a kutatók képesek voltak natív kódokat futtatni.

Ám a vizsgálatot nem tudták teljes egészében lefolytatni, mivel a Google felfüggesztette az App Engine fiókjukat. Ezért a munka még áll, ám a kutatók bíznak a cégben, akik a legtöbbször igen pozitívan állnak a biztonsági kutatók figyelmeztetéseihez, és remélik, hogy hamarosan megcsinálhatják az összes tesztjüket.

Hirdetés

Azóta történt

Előzmények

  • Komoly sebezhetőség a Microsoft vírusvédelmi rendszerében

    Felhasználói vagy rendszergazdai oldalon nincs teendő, a cég ígérete szerint két napon belül mindenhol automatikusan frissülnek a szoftverek.

  • Még mindig több százezer szerveren lehet kihasználni a Heartbleed hibát

    Az OpenSSL évekig megbújó kritikus sérülékenységre egy hónapja derült fény. A javításra nem kellett sokat várni, de egy biztonsági szakember szerint még mindig 300 ezernél is több az így támadható szerver.