Java-Sandbox von Googles App Engine geknackt

Mehr als dreißig Lücken klaffen in der Java-VM von Googles App-Plattform. Forscher Adam Gowdiak ist es gelungen, durch sie bis ins darunterliegende Betriebssystem vorzustoßen und beliebigen Schadcode auszuführen.

In Pocket speichern vorlesen Druckansicht 62 Kommentare lesen
App-Engine-Sandbox
Lesezeit: 1 Min.
Von
  • Fabian A. Scherschel

Adam Gowdiak ist Spezialist für Java-Lücken.

(Bild: Security Explorations)

Der in Java-Kreisen berühmt-berüchtigte Sicherheitsforscher Adam Gowdiak hat wieder zugeschlagen: Diesmal hat er mehr als dreißig Java-Lücken in Googles Web-Plattform App Engine gefunden. Die Lücken ermöglichen es ihm und seinem Team nach eigenen Angaben, aus der Sicherheits-Sandbox der Java-VM auszubrechen und beliebigen Code auf dem unterliegenden System auszuführen.

Durch Ausnutzen der Lücke ist es Gowdiak nach eigenen Angaben gelungen, viel über die Java-VM der App Engine zu lernen. Was wahrscheinlich zur Endeckung weiterer Schwachstellen geführt hat oder noch führen wird.

Gowdiak gab die Existenz der Lücken nun bekannt, da Google das Test-Konto der Forscher gesperrt hat. Er gibt sich dabei zum Teil selbst Schuld: Diese Woche habe man aggressiver getestet; Google habe das wohl bemerkt. Gowdiak bittet Google nun darum, sein Konto wieder freizuschalten, damit er seine Tests fortsetzen kann. Sein Team werde dann einen ausführlichen Report vorbereiten und vertraulich an die Firma melden. Angesichts der positiven Einstellung der Firma zu verantwortungsvollen Sicherheitsforschern, die Googles Software aus eigenem Anreiz nach Fehler absuchen, hält er das für realistisch. (fab)