Новые уязвимости в Google App Engine


0-day yazvimostСпециалисты польской компании Security Explorations выявили семь уязвимостей в Java-платформе, которая лежит в основе облачного хостинга Google App Engine (GAE). При эксплуатации данных багов, владелец одной из виртуальных машин на хостинге GAE может выйти далеко за пределы своих полномочий.

Всего в платформе GAE было обнаружено семь уязвимостей. Также, кроме самих уязвимостей, были опубликованы еще и демонстрационные программы, которые позволяют осуществить взлом, используя указанные бреши.

Так, три из семи багов допускают полный выход из песочницы GAE Java, которая используется для изоляции виртуальных машин в целях безопасности. Эксплуатируя их, злоумышленник может извлечь информацию о Java Runtime Environment и внутренних сервисах, а также протоколах Google. Такая возможность позволяет ему продолжить атаку с учетом этих данных, нацеливаясь уже на саму платформу GAE.

Компания Security Explorations передала Google сведенья о уязвимостях, однако за прошедшие три недели так и не последовало ответа от поискового гиганта. В компании также раскритиковали корпорацию Google за то, что его сотрудникам понадобилось несколько дней, чтобы запустить PoC-код и прочитать отчет. Такое поведение весьма удивительно, учитывая агрессивный подход Google к публикации уязвимостей в сторонних продуктах, чем занимается подразделение Project X.

В Security Explorations считают, что две из указанных уязвимостей были втихую, без уведомления Security Explorations и без соответствующего признания их заслуг, закрыты Google.

Напомним, в декабре прошлого года Security Explorations уже получила максимально возможную награду $50 тыс. по программе вознаграждения за найденные уязвимости. Тогда ими было обнаружено 30 багов в App Engine.


Обновлено (19.05.2015 08:58)