Meerdere kwetsbaarheden gevonden in Google App Engine

Update op 8 december: We deze verklaring ontvangen van een Google-woordvoerder. “We nemen meldingen van kwetsbaarheden in onze producten zeer serieus en we onderzoeken Veiligheid Explorations ‘posting op de Full Disclosure mailinglist We hebben geen reden om aan te nemen dat de gegevens van de klant en toepassingen zijn in gevaar. ”

Google App Engine is het bedrijf de PaaS (Platform as a Service) biedt voor het uitvoeren van op maat gemaakte programma’s met behulp van een breed scala aan populaire talen en frameworks. Veel van deze zijn gebaseerd op de Java omgeving.

Beveiliging Explorations zegt dat de kwetsbaarheden zorgen voor een volledige Java VM beveiligingssandbox escape evenals het uitvoeren van willekeurige code. In totaal hebben de onderzoekers zijn van mening dat het aantal problemen is “30 in totaal.” Ze zijn niet in staat om hun onderzoek te beëindigen omdat Google hun test Google App Engine account opgeschort geweest.

Google’s acties niet onredelijk en Veiligheid Explorations geeft zo veel

Ze hopen, zeggen ze, dat Google hen in staat om hun werk te voltooien, zoals Google het algemeen voorstander van en nuttig zijn om de veiligheid onderzoeksgemeenschap is geweest.

De Google App Engine geeft alleen toegang tot een subset, genaamd de JRE Class White List, van JRE Standard Edition klassen. De onderzoekers waren in staat om uit te breken van deze whitelist en de toegang tot de volledige JRE te krijgen. Ze vonden 22 full zandbak ontsnappen problemen en waren in staat om te exploiteren 17 van hen. Ze waren in staat om native code uit te voeren, in het bijzonder aan willekeurige bibliotheek / system calls te geven en om de toegang tot de dossiers die de JRE zandbak te krijgen.

Werk op 8 december: Na verdere analyse is het duidelijk dat Google’s take-down van de rekening is het bewijs dat ze hebben andere veiligheidsmaatregelen in de plaats. Het is aannemelijk dat een aantal andere maatregelen Google enkele aanslagen zou beperken, althans in bepaalde omstandigheden. The Security Explorations satement dat Google heeft een goede relatie met de beveiliging onderzoeksgemeenschap is ongetwijfeld waar, zoals blijkt uit een groot deel van de eerdere samenwerking en een flinke bug bounty programma.

? M2M markt stuitert terug in Brazilië

FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren

WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging op te lossen

Witte Huis benoemt eerste Federal Chief Information Security Officer

Star Trek: 50 jaar van positieve futurisme en gedurfde sociaal commentaar, Microsoft’s Surface all-in-one PC zei aan de kop van oktober hardware te lanceren; Hands on met de iPhone 7, nieuwe Apple Watch, en AirPods; Google koopt Apigee voor $ 625.000.000

Innovatie;? M2M-markt stuitert terug in Brazilië, veiligheid, FBI arrestaties vermeende leden van Crackas With Attitude voor het hacken van de VS Gov’t ambtenaren, veiligheid, WordPress dringt er bij gebruikers in staat om nu te werken om kritieke gaten in de beveiliging vast te stellen; Veiligheid; Witte Huis benoemt eerste Federal Chief Information Security Officer