Информационные технологииStfw.Ru 🔍
🕛

В Google App Engine найдены многочисленные уязвимости

Бреши позволяют выполнить произвольный код, а также обойти ограничения безопасности виртуальной машины Java.Бреши позволяют выполнить произвольный код, а также обойти ограничения безопасност
Бреши позволяют выполнить произвольный код, а также обойти ограничения безопасности виртуальной машины Java.


Исследователи компании Security Explorations заявили об обнаружении множественных серьезных уязвимостей в Google App Engine (GAE). Сервис представляет собой online-платформу от Google, предназначенную для запуска приложений с использованием широкого ряда популярных языков и фреймворков. Большая часть приложений, использующих GAE, написана на языке Java.

Специалисты объяснили, что уязвимости позволяют удаленному пользователю осуществить выполнение произвольного кода, а также обойти ограничения безопасности и выйти за пределы виртуальной машины Java. По их словам, в настоящее время активными являются не менее 30 брешей. Завершить исследование не удалось, поскольку Google заблокировала учетные записи ИБ-экспертов в GAE – как говорят эксперты, они работали достаточно «агрессивно» и выполняли действия, которые выглядят, по меньшей мере, подозрительно.

В Security Exploration надеются, что Google позволит исследователям завершить их работу. Ранее компания предоставляла всевозможную поддержку и помощь исследователям безопасности.

Google App Engine предоставляет доступ к ограниченному числу классов Java Runtime Environment – так называемому «белому списку классов». Исследователям удалось обойти это ограничение и получить доступ к полной среде разработки. Из 22 уязвимостей эксперты успешно проэксплуатировали 17. Им удалось выполнить произвольный код, особым образом вызывающий ряд системных функций или библиотек и позволяющий выйти за пределы виртуальной машины.

Специалисты Google еще не прокомментировали сложившуюся ситуацию.

Также по теме:
Обзор безопасности, новые вирусы, уязвимости в сети. Взлом и защита компьютера, хакерские атаки.