Mehrere Schwachstellen in Google App Engine entdeckt

Mitarbeiter von Security Explorations haben nach eigenen Angaben mehrere schwerwiegende Sicherheitslücken in der Java-Umgebung der Google App Engine gefunden. Die Google App Engine ist die Platform-as-a-Service-Lösung (PaaS) des Unternehmens und damit ein Teil der Google Cloud Platform. Sie erlaubt die Ausführung eigener Anwendungen und unterstützt zahlreiche Programmiersprachen und Frameworks. Viele davon basieren auf der Java-Umgebung.

Den Forschern zufolge ermöglichen die Anfälligkeiten das Einschleusen und Ausführen von Schadcode. Dabei werden die Sicherheitsfunktionen der Sandbox der Java Virtual Machine vollständig ausgehebelt. Die Gesamtzahl der sicherheitsrelevanten Fehler geben sie mit mehr als 30 an. Sie seien nicht in der Lage gewesen, alle Tests abzuschließen, da Google ihr Testkonto für die Google App Engine deaktiviert habe, so die Forscher weiter.

Allerdings räumt Security Explorations Versäumnisse ein, weswegen Googles Vorgehen nicht unbegründet sei. „Das ist ohne Zweifel ein Fehler auf unserer Seite. Diese Woche haben wir etwas aggressiver in der zugrunde liegenden OS-Sandbox herumgestochert und verschiedene Systemaufrufe gestartet, um mehr über den Fehlercode 202 und die Sandbox selbst zu erfahren.“

Das Sicherheitsunternehmen hofft nun, dass Google es ihnen ermöglicht, die Versuche fortzuführen. Generell unterstütze der Internetkonzern die Bemühungen von Sicherheitsforschern.

Die Google App Engine erlaubt lediglich den Zugriff auf einen Teil der Klassen der JRE Standard Edition, die JRE Class White List genannt werden. Die Forscher waren jedoch in der Lage, diese Whitelist zu verlassen und auf alle Klassen der Java Runtime Environment (JRE) zuzugreifen. Insgesamt entdeckten sie 22 Bugs in der Sandbox, von denen sie 17 benutzen konnten, um nativen Code außerhalb der Sandbox auszuführen.

[mit Material von Larry Seltzer, ZDNet.com]

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.