Abo
  • Services:
Anzeige
Googles Java App Engine hat verschiedene schwerwiegende Lücken.
Googles Java App Engine hat verschiedene schwerwiegende Lücken. (Bild: Google)

Sicherheitslücken: Java-Sandbox-Ausbrüche in Googles App Engine

Googles Java App Engine hat verschiedene schwerwiegende Lücken.
Googles Java App Engine hat verschiedene schwerwiegende Lücken. (Bild: Google)

Ein Forscherteam hat diverse Möglichkeiten und Lücken gefunden, aus der Java-Sandbox von Googles App Engine auszubrechen. Dadurch seien sogar beliebige Systemaufrufe im darunter liegenden Betriebssystem möglich.

Anzeige

Mehr als 30 Sicherheitsprobleme in der Java VM von Googles App Engine hat das Team um Adam Gowdiak eigenen Angaben zufolge gefunden. Die Gruppe ist für das Auffinden von Lücken in unterschiedlichen Java-Implementierungen bekannt. Diese Lücken erlaubten ein komplettes Umgehen der von Google eingesetzten Sandbox, wofür das Team 17 verschiedene Codebeispiele habe, schreibt Gowdiak.

Darüber hinaus habe das Team so weit in das zugrunde liegende Betriebssystem vordringen können, dass beliebige Bibliotheks- und Systemaufrufe möglich seien. Auch auf die Binärdateien und Klassen der eingesetzten Java-Laufzeitumgebung (JRE) habe es zugreifen können. Zum Beweis veröffentlichte Gowdiak die exakte Größe der Programmbibliothek Libjavaruntime.so. Außerdem habe das Forscherteam Informationen über die verwendeten Protocol Buffer erlangen können.

Öffentlich macht Gowdiak die Nachricht über die gefundenen Lücken wohl nur deshalb, weil Google den Test-Account des Teams gesperrt hat, mit dem es nach den Java-Fehlern gesucht hatte. Die Schuld daran gibt sich Gowdiak selbst. Das Team habe zu aggressiv versucht, weitere Details über das Betriebssystem zu erfahren und sei dabei wohl aufgefallen.

Da aber die Sicherheitslücken selbst nicht veröffentlicht worden sind und die Sicherheitsabteilung Googles meist sehr positiv auf verantwortungsvolle Forscher reagiert, hofft das Team, seine Arbeit fortsetzen zu können. Davon würde sowohl Google profitieren, das eine detaillierte Erklärung der Lücken von Gowdiaks Team erhalten könnte. Eine nachfolgende Veröffentlichung der Lücken sei aber auch für viele Forscher interessant, so Gowdiak.


eye home zur Startseite
__destruct() 09. Dez 2014

Er sollte mal Friseure sehen. Die haben so richtig keine Hobbies und schneiden deswegen...



Anzeige

Stellenmarkt
  1. FILIADATA GmbH, Karlsruhe (Home-Office)
  2. Wolters Kluwer Deutschland GmbH, Hürth bei Köln
  3. GK Software AG, Schöneck/Vogtland, Berlin
  4. WKM GmbH, München


Anzeige
Hardware-Angebote
  1. (Core i5-7600K + Asus GTX 1060 Dual OC)
  2. ab 486,80€

Folgen Sie uns
       


  1. ZTE

    Chinas großes 5G-Testprojekt läuft weiter

  2. Ubisoft

    Far Cry 5 bietet Kampf gegen Sekte in und über Montana

  3. Rockstar Games

    Waffenschiebereien in GTA 5

  4. Browser-Games

    Unreal Engine 4.16 unterstützt Wasm und WebGL 2.0

  5. Hasskommentare

    Bundesrat fordert zahlreiche Änderungen an Maas-Gesetz

  6. GVFS

    Windows-Team nutzt fast vollständig Git

  7. Netzneutralität

    Verbraucherschützer wollen Verbot von Stream On der Telekom

  8. Wahlprogramm

    SPD fordert Anzeigepflicht für "relevante Inhalte" im Netz

  9. Funkfrequenzen

    Bundesnetzagentur und Alibaba wollen Produkte sperren

  10. Elektromobilität

    Qualcomm lädt E-Autos während der Fahrt auf



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Quantencomputer: Nano-Kühlung für Qubits
Quantencomputer
Nano-Kühlung für Qubits
  1. IBM Q Mehr Qubits von IBM
  2. Quantencomputer Was sind diese Qubits?
  3. Verschlüsselung Kryptographie im Quantenzeitalter

XPS 13 (9365) im Test: Dells Convertible zeigt alte Stärken und neue Schwächen
XPS 13 (9365) im Test
Dells Convertible zeigt alte Stärken und neue Schwächen
  1. Schnittstelle Intel pflegt endlich Linux-Treiber für Thunderbolt
  2. Atom C2000 & Kaby Lake Updates beheben Defekt respektive fehlendes HDCP 2.2
  3. UP2718Q Dell verkauft HDR10-Monitor ab Mai 2017

Calliope Mini im Test: Neuland lernt programmieren
Calliope Mini im Test
Neuland lernt programmieren
  1. Arduino Cinque RISC-V-Prozessor und ESP32 auf einem Board vereint
  2. MKRFOX1200 Neues Arduino-Board erscheint mit kostenlosem Datentarif
  3. Creoqode 2048 Tragbare Spielekonsole zum Basteln erhältlich

  1. Re: Wundert mich nicht, die löschen auch...

    ex-Amazoner | 21:18

  2. Re: Noch ein Argument

    ChMu | 21:16

  3. Re: Warum sind die Flügel nicht einklappbar?

    Apfelbrot | 21:16

  4. hatte erst an den Weltraum gedacht.

    John2k | 21:12

  5. Re: "Besser sei es, Tarife anzubieten, die ein...

    ChMu | 21:10


  1. 17:40

  2. 16:40

  3. 16:29

  4. 16:27

  5. 15:15

  6. 13:35

  7. 13:17

  8. 13:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel