Google App Engine: mehrere Sicherheitslücken gefunden

Die Schwachstellen in der Google App Engine können laut Security Explorations zum Einschleusen von Schadcode ausgenutzt werden. Insgesamt sollen es mehr als 30 sicherheitsrelevante Fehler sein.

In der Java-Umgebung der Google App Engine, die ein Teil der Google Cloud Platform ist, haben Sicherheitsexperten des Unternehmens Security Explorations nach eigenen Angaben mehrere schwerwiegende Schwachstellen entdeckt.

Google App Engine (Bild: Google).

Die Sicherheitslücken können dazu ausgenutzt werden, um Schadcode in Googles Platform-as-a-Service-Lösung (PaaS) einzuschleusen. Die Sicherheitsfunktionen der Sandbox der Java Virtual Machine werden dabei vollständig ausgehebelt.

Insgesamt sollen es mehr als 30 sicherheitsrelevante Fehler sein. Weitere Nachforschungen konnte das Sicherheitsunternehmen nicht durchführen, da Google sein Testkonto für die Google App Engine deaktiviert habe.

Security Explorations räumt allerdings auch Versäumnisse ein, weswegen Googles Vorgehen nicht unbegründet sei. “Die Sperrung ist ohne Zweifel ein Fehler auf unserer Seite. Diese Woche haben wir etwas aggressiver in der zugrunde liegenden OS-Sandbox herumgestochert und verschiedene Systemaufrufe gestartet, um mehr über den Fehlercode 202 und die Sandbox selbst zu erfahren.”

Das Sicherheitsunternehmen hofft nun, dass Google es ihnen ermöglicht, ihre Tests fortzuführen. Generell unterstütze der Internetkonzern die Bemühungen von Sicherheitsforschern.

Die Google App Engine erlaubt lediglich den Zugriff auf einen Teil der Klassen der JRE Standard Edition, die JRE Class White List genannt werden. Die Forscher waren jedoch in der Lage, diese Whitelist zu verlassen und auf alle Klassen der Java Runtime Environment (JRE) zuzugreifen. Insgesamt entdeckten sie 22 Bugs in der Sandbox, von denen sie 17 benutzen konnten, um nativen Code außerhalb der Sandbox auszuführen.

[Mit Material von Stefan Beiersmann, ZDNet.de]

HIGHLIGHT

CNET.de-Weihnachtsgewinnspiel 2014 – mitmachen und gewinnen!

AdventskalenderHinter unserem Adventskalender verstecken sich auch dieses Jahr wieder vom 1. bis zum 24. Dezember jede Menge attraktive Gewinne. Jeden Tag werden die Preise unter allen Teilnehmern verlost, die sich für diesen Tag von 00:00 Uhr bis 23:59 für die Gewinne hinter dem jeweils passenden Türchen registriert haben.

Autor: Christian Schartel
Christian Schartel Christian Schartel Christian Schartel

Neueste Kommentare 

Noch keine Kommentare zu Google App Engine: mehrere Sicherheitslücken gefunden

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *