Abo
  • Services:
Anzeige
Googles Java App Engine hat verschiedene schwerwiegende Lücken.
Googles Java App Engine hat verschiedene schwerwiegende Lücken. (Bild: Google)

Sicherheitslücken: Java-Sandbox-Ausbrüche in Googles App Engine

Googles Java App Engine hat verschiedene schwerwiegende Lücken.
Googles Java App Engine hat verschiedene schwerwiegende Lücken. (Bild: Google)

Ein Forscherteam hat diverse Möglichkeiten und Lücken gefunden, aus der Java-Sandbox von Googles App Engine auszubrechen. Dadurch seien sogar beliebige Systemaufrufe im darunter liegenden Betriebssystem möglich.

Anzeige

Mehr als 30 Sicherheitsprobleme in der Java VM von Googles App Engine hat das Team um Adam Gowdiak eigenen Angaben zufolge gefunden. Die Gruppe ist für das Auffinden von Lücken in unterschiedlichen Java-Implementierungen bekannt. Diese Lücken erlaubten ein komplettes Umgehen der von Google eingesetzten Sandbox, wofür das Team 17 verschiedene Codebeispiele habe, schreibt Gowdiak.

Darüber hinaus habe das Team so weit in das zugrunde liegende Betriebssystem vordringen können, dass beliebige Bibliotheks- und Systemaufrufe möglich seien. Auch auf die Binärdateien und Klassen der eingesetzten Java-Laufzeitumgebung (JRE) habe es zugreifen können. Zum Beweis veröffentlichte Gowdiak die exakte Größe der Programmbibliothek Libjavaruntime.so. Außerdem habe das Forscherteam Informationen über die verwendeten Protocol Buffer erlangen können.

Öffentlich macht Gowdiak die Nachricht über die gefundenen Lücken wohl nur deshalb, weil Google den Test-Account des Teams gesperrt hat, mit dem es nach den Java-Fehlern gesucht hatte. Die Schuld daran gibt sich Gowdiak selbst. Das Team habe zu aggressiv versucht, weitere Details über das Betriebssystem zu erfahren und sei dabei wohl aufgefallen.

Da aber die Sicherheitslücken selbst nicht veröffentlicht worden sind und die Sicherheitsabteilung Googles meist sehr positiv auf verantwortungsvolle Forscher reagiert, hofft das Team, seine Arbeit fortsetzen zu können. Davon würde sowohl Google profitieren, das eine detaillierte Erklärung der Lücken von Gowdiaks Team erhalten könnte. Eine nachfolgende Veröffentlichung der Lücken sei aber auch für viele Forscher interessant, so Gowdiak.


eye home zur Startseite
__destruct() 09. Dez 2014

Er sollte mal Friseure sehen. Die haben so richtig keine Hobbies und schneiden deswegen...



Anzeige

Stellenmarkt
  1. dSPACE GmbH, Paderborn
  2. Vodafone GmbH, Düsseldorf, Eschborn
  3. operational services GmbH & Co. KG, Nürnberg
  4. über Ratbacher GmbH, Raum Minden


Anzeige
Hardware-Angebote
  1. 179,00€ + 1,99€ Versand

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Der große Ultra-HD-Blu-ray-Test (Teil 1)

    4K-Filme verzeihen keine Fehler

  2. Snapdragon 835

    Erst Samsung, dann alle anderen

  3. Innogy

    Telekom-DSL-Kooperation hilft indirekt dem Glasfaserausbau

  4. Hyperloop

    HTT baut ein Forschungszentrum in Toulouse

  5. Apps ohne Installation

    Android-Instant-Apps gehen in den Live-Test

  6. Cisco

    Mit dem Webex-Plugin beliebigen Code ausführen

  7. Verband

    DVD-Verleih in Deutschland geht wegen Netflix zurück

  8. Google

    Alle kommenden Chromebooks sollen Android-Apps unterstützen

  9. Social Bots

    Furcht vor den neuen Wahlkampfmaschinen

  10. Fire OS 5.2.4.0 im Test

    Amazon vernetflixt die Fire-TV-Oberfläche



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Shield TV (2017) im Test: Nvidias sonderbare Neuauflage
Shield TV (2017) im Test
Nvidias sonderbare Neuauflage
  1. Wayland Google erstellt Gamepad-Support für Android in Chrome OS
  2. Android Nougat Nvidia bringt Experience Upgrade 5.0 für Shield TV
  3. Nvidia Das Shield TV wird kleiner und kommt mit mehr Zubehör

Nintendo Switch im Hands on: Die Rückkehr der Fuchtel-Ritter
Nintendo Switch im Hands on
Die Rückkehr der Fuchtel-Ritter
  1. Nintendo Vorerst keine Videostreaming-Apps auf Switch
  2. Arms angespielt Besser boxen ohne echte Arme
  3. Nintendo Switch Eltern bekommen totale Kontrolle per App

Autonomes Fahren: Laserscanner für den Massenmarkt kommen
Autonomes Fahren
Laserscanner für den Massenmarkt kommen
  1. BMW Autonome Autos sollen mehr miteinander quatschen
  2. Nissan Leaf Autonome Elektroautos rollen ab Februar auf Londons Straßen
  3. Autonomes Fahren Neodriven fährt autonom wie Geohot

  1. Re: Controller unterstützt?

    countzero | 12:03

  2. Gut

    somedudeatwork | 12:02

  3. Re: Wieso eigentlich soviel Netflix

    Lügenbold | 12:02

  4. Re: Selbst schuld, einfach zu teuer und zu...

    Vollbluthonk | 12:01

  5. Re: Wirklich wegen Netflix?

    zampata | 12:01


  1. 12:05

  2. 11:58

  3. 11:51

  4. 11:39

  5. 11:26

  6. 10:54

  7. 10:52

  8. 10:47


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel