Google App Engine: Google reagiert träge auf Java-Sicherheitslücken

Klammheimlich patcht Google Java-Schwachstellen in seiner Entwicklungsumgebung App Engine und ignoriert den Entdecker der Lücken weitgehend. Einige Sicherheitslücken klaffen immer noch.

In Pocket speichern vorlesen Druckansicht 22 Kommentare lesen
Google

(Bild: dpa, Britta Pedersen)

Lesezeit: 1 Min.

Der Sicherheitsforscher Adam Gowdiak klopft die Google App Engine, die Entwicklungsplattform für Webanwendungen, auf Sicherheitslücken ab und hat 2014 mehr als dreißig Java-Lücken gefunden. Google habe darauf verhalten reagiert.

Ein Großteil der Lücken wurde mittlerweile dennoch still und leise geschlossen. Über drei Schwachstellen können Angreifer Gowdiak zufolge zwar nicht mehr aus der Sandbox ausbrechen, aber immer noch Sicherheitsmechanismen umgehen. Google habe die Kommunikation mit Gowdiak nun gänzlich eingestellt, was der Sicherheitsforscher zum Anlass nahm, technische Details zu den Lücken zu veröffentlichen.

Gowdiak zufolge sind die Schwachstellen auf fehlerhafte Implementierungen und nachlässige Sicherheitsprüfungen zurückzuführen. Alle an Google gemeldeten Sicherheitslücken sollen sich in der obersten Sicherheitsebene der Java-Implementierung befinden. Die zurückhaltende Art von Google führt Gowdiak darauf zurück, dass der Konzern sich auf die weiteren Sicherheitsmechanismen der Sandbox der Java-VMs verlässt. (des)