Szerző: Hlács Ferenc

2015. május 18. 11:30

Hét új sebezhetőség a Google App Engine-ben

Biztonsági hibákat találtak a Google App Engine-ben a Security Explorations kutatói. Miután a privát megkeresést követően a keresőóriás nem reagált a hét felfedezett sebezhetőséggel kapcsolatban, a szakértők nyilvánosságra hozták a hibákat.

A Google App Engine-ben található biztonsági résekre figyelmeztetnek a Security Explorations biztonsági szakértői. A kutatók szerint a felhős platform sebezhetőségeit kihasználva támadók kijuthatnak az első szintű biztonsági sandboxból, és potenciálisan rosszindulatú kódot futtathatnak a Google szerverein.

A lengyel biztonsági cég szerint a sérülékenységeket kihasználva a támadók érzékeny felhasználói információkhoz is hozzáférhetnek. A behatolók egy kártékony Java alkalmazás futtatásával törhetnek ki a Google ingyenesen elérhető cloud megoldásához használt sandboxából, valamint a Java sandboxból is - útközben pedig értékes adatokhoz juthatnak a biztonsági környezetekkel kapcsolatban. A sebezhetőségek mindezek mellett potenciálisan az RPC (remote procedure call) szolgáltatások elleni támadásokhoz is jó kiindulópontot biztosíthatnak.

Autista csodabogarak

Az informatikai közeg jó táptalaj a neurodivergens szakembereknek.

Autista csodabogarak Az informatikai közeg jó táptalaj a neurodivergens szakembereknek.

A Security Explorations szakértője, Adam Gowdiak az Ars Technicának nyilatkozva elmondta, a sebezhetőségekkel kapcsolatban folytatott kutatásuk során, a Google-lel kötött megállapodásuk értelmében végig a JVM (Java Virtual Machine) rétegen belül maradtak, a gyakorlatban nem sodortak veszélybe vagy fértek hozzá felhasználói adatokhoz. Gowdiak nagyjából három héttel ezelőtt jelezte a problémát a keresőóriásnak.

A szakértő szerint egy hasonló kaliberű vállalatnak legfeljebb egy-két munkanapon belül jeleznie kellene, hogy tudomásul vette a hibát - miután azonban ez nem történt meg, a Security Explorations részleteiben is nyilvánosságra hozta a hét felfedezett sebezhetőséget, ezzel azt kockáztatva, hogy elveszíti a hibákért járó vaskos, mintegy 20 ezer dolláros vérdíjat. Ugyanakkor időközben a keresőóriás reagált a megkeresésre: a Google egyik szóvivője az esettel kapcsolatban úgy nyilatkozott, a vállalat számára ismert hibáról van szó, amelynek elhárításán már dolgoznak - méghozzá Gowdiakkal közösen. A felhasználóknak a vállalat szerint nem kell külön lépéseket tenniük.

Duna melletti szabadtéri helyszínen, a Budapest Gardenben idén is megrendezzük a hazai Sysadmindayt, az IT-üzemeltetők világnapját. Standup, IT security meetup, kvízek, szakmázás, barátok, még több sörcsap.

a címlapról

Hirdetés

Ollé, lesz SYSADMINDAY!

2025. július 7. 07:20

Duna melletti szabadtéri helyszínen, a Budapest Gardenben idén is megrendezzük a hazai Sysadmindayt, az IT-üzemeltetők világnapját. Standup, IT security meetup, kvízek, szakmázás, barátok, még több sörcsap.

SEMMI

8

Bemutatkozott a Nothing első igazi csúcsmobilja

2025. július 3. 11:59

A prémium modellnek szánt Nothing Phone 3 legegyedibb vonása a hátlapon található Glyph Matrix, amivel a tervezők célja a főképernyő előtt töltött idő csökkentése.