Abo
  • Services:
Anzeige
Googles Java App Engine hat verschiedene schwerwiegende Lücken.
Googles Java App Engine hat verschiedene schwerwiegende Lücken. (Bild: Google)

Sicherheitslücken: Java-Sandbox-Ausbrüche in Googles App Engine

Googles Java App Engine hat verschiedene schwerwiegende Lücken.
Googles Java App Engine hat verschiedene schwerwiegende Lücken. (Bild: Google)

Ein Forscherteam hat diverse Möglichkeiten und Lücken gefunden, aus der Java-Sandbox von Googles App Engine auszubrechen. Dadurch seien sogar beliebige Systemaufrufe im darunter liegenden Betriebssystem möglich.

Anzeige

Mehr als 30 Sicherheitsprobleme in der Java VM von Googles App Engine hat das Team um Adam Gowdiak eigenen Angaben zufolge gefunden. Die Gruppe ist für das Auffinden von Lücken in unterschiedlichen Java-Implementierungen bekannt. Diese Lücken erlaubten ein komplettes Umgehen der von Google eingesetzten Sandbox, wofür das Team 17 verschiedene Codebeispiele habe, schreibt Gowdiak.

Darüber hinaus habe das Team so weit in das zugrunde liegende Betriebssystem vordringen können, dass beliebige Bibliotheks- und Systemaufrufe möglich seien. Auch auf die Binärdateien und Klassen der eingesetzten Java-Laufzeitumgebung (JRE) habe es zugreifen können. Zum Beweis veröffentlichte Gowdiak die exakte Größe der Programmbibliothek Libjavaruntime.so. Außerdem habe das Forscherteam Informationen über die verwendeten Protocol Buffer erlangen können.

Öffentlich macht Gowdiak die Nachricht über die gefundenen Lücken wohl nur deshalb, weil Google den Test-Account des Teams gesperrt hat, mit dem es nach den Java-Fehlern gesucht hatte. Die Schuld daran gibt sich Gowdiak selbst. Das Team habe zu aggressiv versucht, weitere Details über das Betriebssystem zu erfahren und sei dabei wohl aufgefallen.

Da aber die Sicherheitslücken selbst nicht veröffentlicht worden sind und die Sicherheitsabteilung Googles meist sehr positiv auf verantwortungsvolle Forscher reagiert, hofft das Team, seine Arbeit fortsetzen zu können. Davon würde sowohl Google profitieren, das eine detaillierte Erklärung der Lücken von Gowdiaks Team erhalten könnte. Eine nachfolgende Veröffentlichung der Lücken sei aber auch für viele Forscher interessant, so Gowdiak.


eye home zur Startseite
__destruct() 09. Dez 2014

Er sollte mal Friseure sehen. Die haben so richtig keine Hobbies und schneiden deswegen...



Anzeige

Stellenmarkt
  1. Deutsche Telekom Technik GmbH, verschiedene Standorte
  2. über Nash Direct GmbH, München/Ismaning
  3. Dürr IT Service GmbH, Bietigheim-Bissingen
  4. item Industrietechnik GmbH, Solingen


Anzeige
Hardware-Angebote
  1. auf Kameras und Objektive
  2. 65,89€ (Bestpreis!)

Folgen Sie uns
       


  1. Schulden

    Toshiba-Partner und Geldgeber wollen Insolvenzverfahren

  2. Sysadmin Day 2017

    Zum Admin-Sein fehlen mir die Superkräfte!

  3. Ipod Touch günstiger

    iPod Nano und iPod Shuffle eingestellt

  4. Nissan Leaf

    Geringer Reichweitenverlust durch alternden Akku

  5. Quartalsbericht

    Amazons Gewinn bricht ein

  6. Sicherheitslücke

    Caches von CDN-Netzwerken führen zu Datenleck

  7. Open Source

    Microsoft tritt Cloud Native Computing Foundation bei

  8. Q6

    LGs reduziertes G6 kostet 350 Euro

  9. Google

    Youtube Red und Play Music fusionieren zu neuem Dienst

  10. Facebook Marketplace

    Facebooks Verkaufsplattform kommt nach Deutschland



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
IETF Webpackage: Wie das Offline-Internet auf SD-Karte kommen könnte
IETF Webpackage
Wie das Offline-Internet auf SD-Karte kommen könnte
  1. IETF Netzwerker wollen Quic-Pakete tracken
  2. IETF DNS wird sicher, aber erst später
  3. IETF Wie TLS abgehört werden könnte

Gaming-Monitor Viewsonic XG 2530 im Test: 240 Hertz, an die man sich gewöhnen kann
Gaming-Monitor Viewsonic XG 2530 im Test
240 Hertz, an die man sich gewöhnen kann
  1. LG 43UD79-B LG bringt Monitor mit 42,5-Zoll-Panel für vier Signalquellen
  2. Gaming-Bildschirme Freesync-Displays von Iiyama und Viewsonic
  3. Zenscreen MB16AC Asus bringt 15,6-Zoll-USB-Monitor für unterwegs

Handyortung: Wir ahnungslosen Insassen der Funkzelle
Handyortung
Wir ahnungslosen Insassen der Funkzelle
  1. Bundestrojaner BKA will bald Messengerdienste hacken können
  2. Bundestrojaner Österreich will Staatshackern Wohnungseinbrüche erlauben
  3. Staatstrojaner Finfishers Schnüffelsoftware ist noch nicht einsatzbereit

  1. Re: Ich habe in den Spiegel geschaut

    ckerazor | 10:40

  2. Re: Mehr Ausbildung als notwendig

    Kira | 10:39

  3. Re: 11-20% sind gering?

    PiranhA | 10:39

  4. Re: Mach deinen Scheiß doch mal selbst.

    bofhl | 10:39

  5. Re: Wieso fällt der Gewinn bei hohen Investionen?

    smarty79 | 10:35


  1. 10:41

  2. 09:04

  3. 07:23

  4. 07:13

  5. 22:47

  6. 18:56

  7. 17:35

  8. 16:44


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel