Experten entdecken über 30 Sicherheitslücken in Google App Engine

CloudSicherheitSicherheitsmanagement
Google App Engine Logo (Bild: Google)

Sie wurden in der Java-Umgebung der App Engine gefunden. Über die Schwachstellen lässt sich Schadcode einschleusen, den Angreifer dann außerhalb der Sandbox ausführen könnten. Das Testkonto der zur Sicherheitsfirma Security Explorations gehörenden Entdecker der Sicherheitslücken hat Google deaktiviert.

Mitarbeiter von Security Explorations haben gleich mehrere gravierende Sicherheitslücken in Google App Engine entdeckt. Die Platform-as-a-Service-Lösung (PaaS) ist Teil der Google Cloud Platform. Sie erlaubt es Nutzern, eigene Anwendungen auszuführen und unterstützt zahlreiche Programmiersprachen und Frameworks. Viele davon basieren auf der Java-Umgebung, in der die nun entdeckten Sicherheitslücken stecken.

Logo der Google App Engine (Bild: Google)

Laut Security Explorations ermöglichen die Schwachstellen Angreifern Schadcode einzuschleusen und auszuführen. Die Sicherheitsfunktionen der Sandbox der Java Virtual Machine werden dabei vollständig ausgehebelt. Eigenen Angaben zufolge haben sie mehr als 30 derartige Sichehreitslücken gefunden. Allerdings hätten sie nicht alle Tests abschließen können, da Google ihr Testkonto für die Google App Engine deaktiviert habe, erklären die Forscher.

Sie räumen allerdings Versäumnisse ein udn geben deshalb zu, dass Googles Vorgehen nicht gänzlich unbegründet sei. “Das ist ohne Zweifel ein Fehler auf unserer Seite. Diese Woche haben wir etwas aggressiver in der zugrunde liegenden OS-Sandbox herumgestochert und verschiedene Systemaufrufe gestartet, um mehr über den Fehlercode 202 und die Sandbox selbst zu erfahren.” Das Sicherheitsunternehmen hofft nun, dass Google es ihm ermöglicht, die Versuche fortzuführen. Den grundsätzlich unterstütze der Internetkonzern die Bemühungen von Sicherheitsforschern.

Eigentlich erlaubt die Google App Engine lediglich den Zugriff auf einen Teil der Klassen der JRE Standard Edition, die JRE Class White List genannt werden. Den Forschern gelang es jedoch, auf alle Klassen der Java Runtime Environment (JRE) zuzugreifen. Insgesamt entdeckten sie dabei 22 Bugs in der Sandbox, von denen sie 17 ausnutzen konnten, um nativen Code außerhalb der Sandbox auszuführen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen