Sicherheitslücken: Java-Sandbox-Ausbrüche in Googles App Engine

Ein Forscherteam hat diverse Möglichkeiten und Lücken gefunden, aus der Java-Sandbox von Googles App Engine auszubrechen. Dadurch seien sogar beliebige Systemaufrufe im darunter liegenden Betriebssystem möglich.

Artikel veröffentlicht am ,
Googles Java App Engine hat verschiedene schwerwiegende Lücken.
Googles Java App Engine hat verschiedene schwerwiegende Lücken. (Bild: Google)

Mehr als 30 Sicherheitsprobleme in der Java VM von Googles App Engine hat das Team um Adam Gowdiak eigenen Angaben zufolge gefunden. Die Gruppe ist für das Auffinden von Lücken in unterschiedlichen Java-Implementierungen bekannt. Diese Lücken erlaubten ein komplettes Umgehen der von Google eingesetzten Sandbox, wofür das Team 17 verschiedene Codebeispiele habe, schreibt Gowdiak.

Stellenmarkt
  1. Systemingenieur (m/w/d) Vorentwicklung Funktionale Sicherheit (FuSi)
    DRÄXLMAIER Group, Garching
  2. Data Warehouse Entwickler/ETL-Entwickler (m/w/d)
    SBK Siemens-Betriebskrankenkasse, München
Detailsuche

Darüber hinaus habe das Team so weit in das zugrunde liegende Betriebssystem vordringen können, dass beliebige Bibliotheks- und Systemaufrufe möglich seien. Auch auf die Binärdateien und Klassen der eingesetzten Java-Laufzeitumgebung (JRE) habe es zugreifen können. Zum Beweis veröffentlichte Gowdiak die exakte Größe der Programmbibliothek Libjavaruntime.so. Außerdem habe das Forscherteam Informationen über die verwendeten Protocol Buffer erlangen können.

Öffentlich macht Gowdiak die Nachricht über die gefundenen Lücken wohl nur deshalb, weil Google den Test-Account des Teams gesperrt hat, mit dem es nach den Java-Fehlern gesucht hatte. Die Schuld daran gibt sich Gowdiak selbst. Das Team habe zu aggressiv versucht, weitere Details über das Betriebssystem zu erfahren und sei dabei wohl aufgefallen.

Da aber die Sicherheitslücken selbst nicht veröffentlicht worden sind und die Sicherheitsabteilung Googles meist sehr positiv auf verantwortungsvolle Forscher reagiert, hofft das Team, seine Arbeit fortsetzen zu können. Davon würde sowohl Google profitieren, das eine detaillierte Erklärung der Lücken von Gowdiaks Team erhalten könnte. Eine nachfolgende Veröffentlichung der Lücken sei aber auch für viele Forscher interessant, so Gowdiak.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Screenshots zeigen neue Oberfläche
Windows 11 geleakt

Durch einen Leak der ISO von Microsofts Betriebssystem Windows 11 sind Details der Benutzeroberfläche inklusive des Startmenüs bekannt geworden.

Screenshots zeigen neue Oberfläche: Windows 11 geleakt
Artikel
  1. Suchmaschinen: Huawei könnte bei Google-Konkurrent Qwant einsteigen
    Suchmaschinen
    Huawei könnte bei Google-Konkurrent Qwant einsteigen

    Die französische Suchmaschine Qwant macht weiterhin mehr Verluste als Umsatz. Das Geld von Huawei kann sie daher dringend gebrauchen.

  2. Mikromobilität: Im Rhein liegen Hunderte E-Scooter
    Mikromobilität
    Im Rhein liegen Hunderte E-Scooter

    Sie aus dem Wasser holen zu lassen ist zumindest einem Vermieter der E-Scooter zu teuer.

  3. Elon Musk: Tesla-Chef verkauft sein letztes Haus in Kalifornien
    Elon Musk
    Tesla-Chef verkauft sein letztes Haus in Kalifornien

    Seit Mitte 2020 trennt sich Elon Musk nach und nach von seinen Immobilien. Nun verkauft er sein letztes Anwesen - eine Villa in Kalifornien.

__destruct() 09. Dez 2014

Er sollte mal Friseure sehen. Die haben so richtig keine Hobbies und schneiden deswegen...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Crucial MX500 500GB 48,99€ • Amazon-Geräte günstiger • WD Black SN850 500GB PCIe 4.0 89€ • Apple iPhone 12 mini 64GB Rot 589€ • Far Cry 6 + Steelbook PS5 69,99€ • E3-Aktion: Xbox-Spiele bei MM günstiger • Amazon Music Ultd. 6 Mon. gratis bei Kauf eines Echo Dot (4. Gen.) [Werbung]
    •  /