Abo
  • IT-Karriere:

Sicherheitslücken: Java-Sandbox-Ausbrüche in Googles App Engine

Ein Forscherteam hat diverse Möglichkeiten und Lücken gefunden, aus der Java-Sandbox von Googles App Engine auszubrechen. Dadurch seien sogar beliebige Systemaufrufe im darunter liegenden Betriebssystem möglich.

Artikel veröffentlicht am ,
Googles Java App Engine hat verschiedene schwerwiegende Lücken.
Googles Java App Engine hat verschiedene schwerwiegende Lücken. (Bild: Google)

Mehr als 30 Sicherheitsprobleme in der Java VM von Googles App Engine hat das Team um Adam Gowdiak eigenen Angaben zufolge gefunden. Die Gruppe ist für das Auffinden von Lücken in unterschiedlichen Java-Implementierungen bekannt. Diese Lücken erlaubten ein komplettes Umgehen der von Google eingesetzten Sandbox, wofür das Team 17 verschiedene Codebeispiele habe, schreibt Gowdiak.

Stellenmarkt
  1. DAL Deutsche Anlagen-Leasing GmbH & Co. KG, Mainz
  2. novacare GmbH, Bad Dürkheim

Darüber hinaus habe das Team so weit in das zugrunde liegende Betriebssystem vordringen können, dass beliebige Bibliotheks- und Systemaufrufe möglich seien. Auch auf die Binärdateien und Klassen der eingesetzten Java-Laufzeitumgebung (JRE) habe es zugreifen können. Zum Beweis veröffentlichte Gowdiak die exakte Größe der Programmbibliothek Libjavaruntime.so. Außerdem habe das Forscherteam Informationen über die verwendeten Protocol Buffer erlangen können.

Öffentlich macht Gowdiak die Nachricht über die gefundenen Lücken wohl nur deshalb, weil Google den Test-Account des Teams gesperrt hat, mit dem es nach den Java-Fehlern gesucht hatte. Die Schuld daran gibt sich Gowdiak selbst. Das Team habe zu aggressiv versucht, weitere Details über das Betriebssystem zu erfahren und sei dabei wohl aufgefallen.

Da aber die Sicherheitslücken selbst nicht veröffentlicht worden sind und die Sicherheitsabteilung Googles meist sehr positiv auf verantwortungsvolle Forscher reagiert, hofft das Team, seine Arbeit fortsetzen zu können. Davon würde sowohl Google profitieren, das eine detaillierte Erklärung der Lücken von Gowdiaks Team erhalten könnte. Eine nachfolgende Veröffentlichung der Lücken sei aber auch für viele Forscher interessant, so Gowdiak.



Anzeige
Spiele-Angebote
  1. 4,99€
  2. 0,49€
  3. 17,99€
  4. 12,99€

__destruct() 09. Dez 2014

Er sollte mal Friseure sehen. Die haben so richtig keine Hobbies und schneiden deswegen...


Folgen Sie uns
       


VW-Elektroautos aus Zwickau - Bericht

Der Volkswagen-Konzern will ab 2020 in Zwickau nur noch Elektroautos bauen - wir haben uns die Umstellung angesehen.

VW-Elektroautos aus Zwickau - Bericht Video aufrufen
Atari Portfolio im Retrotest: Endlich können wir unterwegs arbeiten!
Atari Portfolio im Retrotest
Endlich können wir unterwegs arbeiten!

Ende der 1980er Jahre waren tragbare PCs nicht gerade handlich, der Portfolio von Atari war eine willkommene Ausnahme: Der erste Palmtop-Computer der Welt war klein, leicht und weitestgehend DOS-kompatibel - ideal für Geschäftsreisende aus dem Jahr 1989 und Nerds aus dem Jahr 2019.
Ein Test von Tobias Költzsch

  1. Retrokonsole Hauptverantwortlicher des Atari VCS schmeißt hin

Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
Linux-Kernel
Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.
Ein IMHO von Sebastian Grüner

  1. Kernel Linux bekommt Unterstützung für USB 4
  2. Kernel Vorschau auf Linux 5.4 bringt viele Security-Funktionen
  3. Linux Lockdown-Patches im Kernel aufgenommen

IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

    •  /