Mellékleteink: HUP | Gamekapocs
Keres

Hét új sebezhetőség a Google App Engine-ben

Hlács Ferenc, 2015. május 18. 11:30
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Biztonsági hibákat találtak a Google App Engine-ben a Security Explorations kutatói. Miután a privát megkeresést követően a keresőóriás nem reagált a hét felfedezett sebezhetőséggel kapcsolatban, a szakértők nyilvánosságra hozták a hibákat.

A Google App Engine-ben található biztonsági résekre figyelmeztetnek a Security Explorations biztonsági szakértői. A kutatók szerint a felhős platform sebezhetőségeit kihasználva támadók kijuthatnak az első szintű biztonsági sandboxból, és potenciálisan rosszindulatú kódot futtathatnak a Google szerverein.

A lengyel biztonsági cég szerint a sérülékenységeket kihasználva a támadók érzékeny felhasználói információkhoz is hozzáférhetnek. A behatolók egy kártékony Java alkalmazás futtatásával törhetnek ki a Google ingyenesen elérhető cloud megoldásához használt sandboxából, valamint a Java sandboxból is - útközben pedig értékes adatokhoz juthatnak a biztonsági környezetekkel kapcsolatban. A sebezhetőségek mindezek mellett potenciálisan az RPC (remote procedure call) szolgáltatások elleni támadásokhoz is jó kiindulópontot biztosíthatnak.

A Security Explorations szakértője, Adam Gowdiak az Ars Technicának nyilatkozva elmondta, a sebezhetőségekkel kapcsolatban folytatott kutatásuk során, a Google-lel kötött megállapodásuk értelmében végig a JVM (Java Virtual Machine) rétegen belül maradtak, a gyakorlatban nem sodortak veszélybe vagy fértek hozzá felhasználói adatokhoz. Gowdiak nagyjából három héttel ezelőtt jelezte a problémát a keresőóriásnak.

A szakértő szerint egy hasonló kaliberű vállalatnak legfeljebb egy-két munkanapon belül jeleznie kellene, hogy tudomásul vette a hibát - miután azonban ez nem történt meg, a Security Explorations részleteiben is nyilvánosságra hozta a hét felfedezett sebezhetőséget, ezzel azt kockáztatva, hogy elveszíti a hibákért járó vaskos, mintegy 20 ezer dolláros vérdíjat. Ugyanakkor időközben a keresőóriás reagált a megkeresésre: a Google egyik szóvivője az esettel kapcsolatban úgy nyilatkozott, a vállalat számára ismert hibáról van szó, amelynek elhárításán már dolgoznak - méghozzá Gowdiakkal közösen. A felhasználóknak a vállalat szerint nem kell külön lépéseket tenniük.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.