Abo
  • Services:

Sicherheitslücken: Java-Sandbox-Ausbrüche in Googles App Engine

Ein Forscherteam hat diverse Möglichkeiten und Lücken gefunden, aus der Java-Sandbox von Googles App Engine auszubrechen. Dadurch seien sogar beliebige Systemaufrufe im darunter liegenden Betriebssystem möglich.

Artikel veröffentlicht am ,
Googles Java App Engine hat verschiedene schwerwiegende Lücken.
Googles Java App Engine hat verschiedene schwerwiegende Lücken. (Bild: Google)

Mehr als 30 Sicherheitsprobleme in der Java VM von Googles App Engine hat das Team um Adam Gowdiak eigenen Angaben zufolge gefunden. Die Gruppe ist für das Auffinden von Lücken in unterschiedlichen Java-Implementierungen bekannt. Diese Lücken erlaubten ein komplettes Umgehen der von Google eingesetzten Sandbox, wofür das Team 17 verschiedene Codebeispiele habe, schreibt Gowdiak.

Stellenmarkt
  1. Deutsche Bundesbank, Frankfurt am Main
  2. AIXTRON SE, Aachen

Darüber hinaus habe das Team so weit in das zugrunde liegende Betriebssystem vordringen können, dass beliebige Bibliotheks- und Systemaufrufe möglich seien. Auch auf die Binärdateien und Klassen der eingesetzten Java-Laufzeitumgebung (JRE) habe es zugreifen können. Zum Beweis veröffentlichte Gowdiak die exakte Größe der Programmbibliothek Libjavaruntime.so. Außerdem habe das Forscherteam Informationen über die verwendeten Protocol Buffer erlangen können.

Öffentlich macht Gowdiak die Nachricht über die gefundenen Lücken wohl nur deshalb, weil Google den Test-Account des Teams gesperrt hat, mit dem es nach den Java-Fehlern gesucht hatte. Die Schuld daran gibt sich Gowdiak selbst. Das Team habe zu aggressiv versucht, weitere Details über das Betriebssystem zu erfahren und sei dabei wohl aufgefallen.

Da aber die Sicherheitslücken selbst nicht veröffentlicht worden sind und die Sicherheitsabteilung Googles meist sehr positiv auf verantwortungsvolle Forscher reagiert, hofft das Team, seine Arbeit fortsetzen zu können. Davon würde sowohl Google profitieren, das eine detaillierte Erklärung der Lücken von Gowdiaks Team erhalten könnte. Eine nachfolgende Veröffentlichung der Lücken sei aber auch für viele Forscher interessant, so Gowdiak.



Anzeige
Top-Angebote
  1. 284,90€ statt über 320€ im Vergleich (+ 50€ Rabatt bei 0%-Finanzierung und Gutschein: NAS-50)
  2. (u. a. Define R6 für 94,90€ + Versand, Zotac GeForce GTX 1080 Ti Blower für 639€ + Versand...
  3. (u. a. HP Omen 17.3" FHD mit i7-8750H/8 GB/128 GB + 1 TB/GTX 1050 Ti 4 GB für 1.049€ statt 1...
  4. (u. a. Creative Sound BlasterX Katana für 189,90€ + Versand statt 229,88€ im Vergleich und...

__destruct() 09. Dez 2014

Er sollte mal Friseure sehen. Die haben so richtig keine Hobbies und schneiden deswegen...


Folgen Sie uns
       


Biegbare OLEDs von Royole (Ifa 2018)

Die biegbaren Displays von Royole bieten auch an der Bruchkante ein sehr gutes Bild. Wann ein Endverbraucherprodukt mit einem derartigen flexiblen Bildschirm auf den Markt kommt, ist noch nicht bekannt.

Biegbare OLEDs von Royole (Ifa 2018) Video aufrufen
Virtuelle Realität: Skin-Handel auf Basis von Blockchain
Virtuelle Realität
Skin-Handel auf Basis von Blockchain

Vlad Panchenko hat als Gaming-Unternehmer Millionen gemacht. Jetzt entwickelt er ein neues Blockchain-Protokoll. Heute kann man darüber In-Game Items sicher handeln, in der anrückenden VR-Zukunft aber alles, wie er glaubt.
Ein Interview von Sebastian Gluschak

  1. Digital Asset Google und Startup bieten Blockchain-Programmiersprache an
  2. Illegale Inhalte Die Blockchain enthält Missbrauchsdarstellungen

Leistungsschutzrecht: So viel Geld würden die Verlage von Google bekommen
Leistungsschutzrecht
So viel Geld würden die Verlage von Google bekommen

Das europäische Leistungsschutzrecht soll die Zukunft der Presse sichern. Doch in Deutschland würde derzeit ein einziger Verlag fast zwei Drittel der Einnahmen erhalten.
Eine Analyse von Friedhelm Greis

  1. Netzpolitik Willkommen im europäischen Filternet
  2. Urheberrecht Europaparlament für Leistungsschutzrecht und Uploadfilter
  3. Leistungsschutzrecht/Uploadfilter Wikipedia protestiert gegen Urheberrechtsreform

Gesetzesentwurf: So will die Regierung den Abmahnmissbrauch eindämmen
Gesetzesentwurf
So will die Regierung den Abmahnmissbrauch eindämmen

Obwohl nach Inkrafttreten der DSGVO eine Abmahnwelle ausgeblieben ist, will Justizministerin Barley nun gesetzlich gegen missbräuchliche Abmahnungen vorgehen. Damit soll auch der "fliegende Gerichtsstand" im Wettbewerbsrecht abgeschafft werden.
Von Friedhelm Greis


      •  /