В Google App Engine найдены многочисленные уязвимости

image

Теги: Google, уязвимость, Security Explorations, Google App Engine

Бреши позволяют выполнить произвольный код, а также обойти ограничения безопасности виртуальной машины Java.

Исследователи компании Security Explorations заявили об обнаружении множественных серьезных уязвимостей в Google App Engine (GAE). Сервис представляет собой online-платформу от Google, предназначенную для запуска приложений с использованием широкого ряда популярных языков и фреймворков. Большая часть приложений, использующих GAE, написана на языке Java.

Специалисты объяснили, что уязвимости позволяют удаленному пользователю осуществить выполнение произвольного кода, а также обойти ограничения безопасности и выйти за пределы виртуальной машины Java. По их словам, в настоящее время активными являются не менее 30 брешей. Завершить исследование не удалось, поскольку Google заблокировала учетные записи ИБ-экспертов в GAE – как говорят эксперты, они работали достаточно «агрессивно» и выполняли действия, которые выглядят, по меньшей мере, подозрительно.

В Security Exploration надеются, что Google позволит исследователям завершить их работу. Ранее компания предоставляла всевозможную поддержку и помощь исследователям безопасности.

Google App Engine предоставляет доступ к ограниченному числу классов Java Runtime Environment – так называемому «белому списку классов». Исследователям удалось обойти это ограничение и получить доступ к полной среде разработки. Из 22 уязвимостей эксперты успешно проэксплуатировали 17. Им удалось выполнить произвольный код, особым образом вызывающий ряд системных функций или библиотек и позволяющий выйти за пределы виртуальной машины.

Специалисты Google еще не прокомментировали сложившуюся ситуацию.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus