Abo
  • Services:
Anzeige
Googles Java App Engine hat verschiedene schwerwiegende Lücken.
Googles Java App Engine hat verschiedene schwerwiegende Lücken. (Bild: Google)

Sicherheitslücken: Java-Sandbox-Ausbrüche in Googles App Engine

Googles Java App Engine hat verschiedene schwerwiegende Lücken.
Googles Java App Engine hat verschiedene schwerwiegende Lücken. (Bild: Google)

Ein Forscherteam hat diverse Möglichkeiten und Lücken gefunden, aus der Java-Sandbox von Googles App Engine auszubrechen. Dadurch seien sogar beliebige Systemaufrufe im darunter liegenden Betriebssystem möglich.

Anzeige

Mehr als 30 Sicherheitsprobleme in der Java VM von Googles App Engine hat das Team um Adam Gowdiak eigenen Angaben zufolge gefunden. Die Gruppe ist für das Auffinden von Lücken in unterschiedlichen Java-Implementierungen bekannt. Diese Lücken erlaubten ein komplettes Umgehen der von Google eingesetzten Sandbox, wofür das Team 17 verschiedene Codebeispiele habe, schreibt Gowdiak.

Darüber hinaus habe das Team so weit in das zugrunde liegende Betriebssystem vordringen können, dass beliebige Bibliotheks- und Systemaufrufe möglich seien. Auch auf die Binärdateien und Klassen der eingesetzten Java-Laufzeitumgebung (JRE) habe es zugreifen können. Zum Beweis veröffentlichte Gowdiak die exakte Größe der Programmbibliothek Libjavaruntime.so. Außerdem habe das Forscherteam Informationen über die verwendeten Protocol Buffer erlangen können.

Öffentlich macht Gowdiak die Nachricht über die gefundenen Lücken wohl nur deshalb, weil Google den Test-Account des Teams gesperrt hat, mit dem es nach den Java-Fehlern gesucht hatte. Die Schuld daran gibt sich Gowdiak selbst. Das Team habe zu aggressiv versucht, weitere Details über das Betriebssystem zu erfahren und sei dabei wohl aufgefallen.

Da aber die Sicherheitslücken selbst nicht veröffentlicht worden sind und die Sicherheitsabteilung Googles meist sehr positiv auf verantwortungsvolle Forscher reagiert, hofft das Team, seine Arbeit fortsetzen zu können. Davon würde sowohl Google profitieren, das eine detaillierte Erklärung der Lücken von Gowdiaks Team erhalten könnte. Eine nachfolgende Veröffentlichung der Lücken sei aber auch für viele Forscher interessant, so Gowdiak.


eye home zur Startseite
__destruct() 09. Dez 2014

Er sollte mal Friseure sehen. Die haben so richtig keine Hobbies und schneiden deswegen...



Anzeige

Stellenmarkt
  1. über Hays AG, Berlin
  2. endica GmbH, Karlsruhe
  3. NRW.BANK, Düsseldorf
  4. ALDI SÜD, Mülheim an der Ruhr


Anzeige
Hardware-Angebote
  1. mit dem Gutscheincode PSUPERTECH
  2. 59,90€

Folgen Sie uns
       


  1. Archäologie

    Miniluftschiff soll Kammer in der Cheops-Pyramide erkunden

  2. Lohn

    Streik bei Amazon an zwei Standorten

  3. Vorratsdatenspeicherung

    Die Groko funktioniert schon wieder

  4. FTTH/B

    EWE und Telekom investieren zwei Milliarden Euro in FTTH/B

  5. Honor 7X, Moto X4 und U11 Life im Test

    Drei gute Alternativen zu teuren Smartphones

  6. Produktfälschungen

    Hunderte Milliarden Euro Umsatz weltweit mit falscher Ware

  7. Hybridkonsole

    Nintendo meldet 10 Millionen verkaufte Switch

  8. Neues US-Gesetz

    Trump verbannt Kaspersky endgültig von Regierungscomputern

  9. IEEE 802.11ax

    Marvell kündigt 4x4-WLAN-Chips mit 2,4 GBit/s an

  10. GNSS

    Esa startet vier neue Satelliten für Galileo



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
E-Golf auf Tour: Reichweitenangst oder: Wie wir lernten, Lidl zu lieben
E-Golf auf Tour
Reichweitenangst oder: Wie wir lernten, Lidl zu lieben
  1. Uniti One Schwedisches Unternehmen Uniti stellt erstes Elektroauto vor
  2. LEVC London bekommt Elektrotaxis mit Range Extender
  3. Vehicle-to-Grid Honda macht Elektroautos zu Stromnetz-Puffern

Alexa-Geräte und ihre Konkurrenz im Test: Der perfekte smarte Lautsprecher ist nicht dabei
Alexa-Geräte und ihre Konkurrenz im Test
Der perfekte smarte Lautsprecher ist nicht dabei
  1. Alexa und Co. Wirtschaftsverband sieht Megatrend zu smarten Lautsprechern
  2. Smarte Lautsprecher Google unterstützt indirekt Bau von Alexa-Geräten
  3. UE Blast und Megablast Alexa-Lautsprecher sind wasserfest und haben einen Akku

4K UHD HDR: Das ZDF hat das Internet nicht verstanden
4K UHD HDR
Das ZDF hat das Internet nicht verstanden
  1. Cisco und Lancom Wenn Spionagepanik auf Industriepolitik trifft
  2. Encrypted Media Extensions Web-DRM ist ein Standard für Nutzer

  1. HDR = am PC nicht relevant (danke, genau das...

    keböb | 14:12

  2. Re: so war die Überschrift eigentlich gedacht

    root666 | 14:09

  3. Re: ich verstehe nicht so ganz

    xVipeR33 | 14:08

  4. Dragon Quest Builders

    Dwalinn | 14:07

  5. Re: Alle Jahre wieder

    Flown | 14:07


  1. 14:08

  2. 13:33

  3. 12:52

  4. 12:21

  5. 12:03

  6. 11:49

  7. 11:23

  8. 11:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel