Több mint 30 biztonsági rés kapcsolódik a Google egyik platformjához | ||
Az a csapat talált rá a Google App Engine hibáira, akik már máskor is sikeresen tártak fel Java-sebezhetőségeket. Egy neves biztonsági szakember, a Security Explorations alapítója és vezetője, Adam Gowdiak december hatodikán a közkedvelt és tekintélyes levelezési listán, a Full Disclosure-ön jelentette be, hogy a Google App Engine (GAE) platformszolgáltatásának Java-környezetében olyan sérülékenységeket tártak fel, melyek alkalmasak arra, hogy egy biztonsági vonalat, az úgynevezett homokozót (sandbox) támadók meg tudják kerülni. Méghozzá nem is kevés résről van szó: a bejelentés szerint csapatánál több mint harmincat számoltak össze. A sokak által használt felhős szolgáltatást, a Google App Engine-t arra találták ki, hogy segítsék és támogassák a webes alkalmazások fejlesztőit. A leggyakrabban használt programnyelveket és keretrendszereket támogató PaaS-szolgáltatás (Platform as a Service) népszerű a programozók körében, és most ebben a rendszerben a Java-környezetben fedték fel a a tetszőleges kódok futtatását megkönnyítő sebezhetőségeket. A leírás szerint a rések lehetővé teszik, hogy valaki megkerülje a JRE Classes által engedélyezett művelettiltásokat (vagyis nemcsak az engedélyezési listán szereplő akciókat hajthatják végre), és teljes hozzáférést szerezhetnek a futtatási környezethez (Java Runtime Environment – JRE). 17 esetben sikeres exploitokat készítettek a sebezhetőség tesztelésére. A rések kihasználásával a kutatók képesek voltak natív kódokat futtatni. Ám a vizsgálatot nem tudták teljes egészében lefolytatni, mivel a Google felfüggesztette az App Engine fiókjukat. Ezért a munka még áll, ám a kutatók bíznak a cégben, akik a legtöbbször igen pozitívan állnak a biztonsági kutatók figyelmeztetéseihez, és remélik, hogy hamarosan megcsinálhatják az összes tesztjüket.
forrás: itcafe.hu
|
||
2014.12.10 08:47:22 | | | Vissza |
Hírarchívum© Detektor Plusz 2010 Minden jog fenntartva.
powered by SiteSet
|