Бреши позволяют выполнить произвольный код, а также обойти ограничения безопасности виртуальной машины Java.
Исследователи компании Security Explorations заявили об обнаружении множественных серьезных уязвимостей в Google App Engine (GAE). Сервис представляет собой online-платформу от Google, предназначенную для запуска приложений с использованием широкого ряда популярных языков и фреймворков. Большая часть приложений, использующих GAE, написана на языке Java.
Специалисты объяснили, что уязвимости позволяют удаленному пользователю осуществить выполнение произвольного кода, а также обойти ограничения безопасности и выйти за пределы виртуальной машины Java. По их словам, в настоящее время активными являются не менее 30 брешей. Завершить исследование не удалось, поскольку Google заблокировала учетные записи ИБ-экспертов в GAE – как говорят эксперты, они работали достаточно «агрессивно» и выполняли действия, которые выглядят, по меньшей мере, подозрительно.
В Security Exploration надеются, что Google позволит исследователям завершить их работу. Ранее компания предоставляла всевозможную поддержку и помощь исследователям безопасности.
Google App Engine предоставляет доступ к ограниченному числу классов Java Runtime Environment – так называемому «белому списку классов». Исследователям удалось обойти это ограничение и получить доступ к полной среде разработки. Из 22 уязвимостей эксперты успешно проэксплуатировали 17. Им удалось выполнить произвольный код, особым образом вызывающий ряд системных функций или библиотек и позволяющий выйти за пределы виртуальной машины.
Специалисты Google еще не прокомментировали сложившуюся ситуацию.
В Google App Engine найдены многочисленные уязвимости
Бреши позволяют выполнить произвольный код, а также обойти ограничения безопасности виртуальной машины Java.Бреши позволяют выполнить произвольный код, а также обойти ограничения безопасностТакже по теме: