Schwerwiegende Sicherheitslücken in Google App Engine

(Screenshot: Gizmodo)

In der Java-Umgebung der Google App Engine wurden von Sicherheitsforschern mehrere Schwachstellen entdeckt. Den Mitarbeitern von Security Explorations zufolge könnte Schadcode die Sicherheitsfunktionen der Sandbox vollständig aushebeln.

Googles App Engine ist als Teil des eigenen Cloud-Dienstes die Platform-as-a-Service-Lösung (PaaS) des IT-Konzerns. Auf ihr lassen sich eigene Anwendungen ausführen sowie auf zahlreiche Programmiersprachen und Frameworks zurückgreifen. Die von den Forschern entdeckten Schwachstellen ermöglichen allerdings das Einschleusen und Ausführen von Schadcode in Googles App Engine, die die Sicherheitsfunktionen der Sandbox der Java Virtual Machine vollständig aushebeln könnte.

Die Experten sprechen von mehr als 30 solcher sicherheitsrelevanter Fehler, wobei sie nicht in der Lage gewesen seien, alle Tests abzuschließen, da Google ihr Testkonto für die App Engine deaktiviert habe.

Allerdings räumt Security Explorations Versäumnisse ein, weswegen Googles Vorgehen nicht unbegründet sei. “Das ist ohne Zweifel ein Fehler auf unserer Seite. Diese Woche haben wir etwas aggressiver in der zugrunde liegenden OS-Sandbox herumgestochert und verschiedene Systemaufrufe gestartet, um mehr über den Fehlercode 202 und die Sandbox selbst zu erfahren.”

Das Sicherheitsunternehmen hofft nun, dass Google es ihnen ermöglicht, die Versuche fortzuführen. Generell unterstütze der Internetkonzern die Bemühungen von Sicherheitsforschern.

Die Google App Engine erlaubt lediglich den Zugriff auf einen Teil der Klassen der JRE Standard Edition, die JRE Class White List genannt werden. Die Forscher waren jedoch in der Lage, diese Whitelist zu verlassen und auf alle Klassen der Java Runtime Environment (JRE) zuzugreifen. Insgesamt entdeckten sie 22 Bugs in der Sandbox, von denen sie 17 benutzen konnten, um nativen Code außerhalb der Sandbox auszuführen.

Tipp: Wie gut kennst du Google? Teste dein Wissen – mit 15 Fragen bei ITespresso.

Tags :Quellen:Bild: Screenshot GizmodoVia:Mit Material von Stefan Beiersmann, ZDNet.de

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising