Google App Engine: Google reagiert träge auf Java-Sicherheitslücken
Klammheimlich patcht Google Java-Schwachstellen in seiner Entwicklungsumgebung App Engine und ignoriert den Entdecker der Lücken weitgehend. Einige Sicherheitslücken klaffen immer noch.
(Bild: dpa, Britta Pedersen)
Der Sicherheitsforscher Adam Gowdiak klopft die Google App Engine, die Entwicklungsplattform für Webanwendungen, auf Sicherheitslücken ab und hat 2014 mehr als dreißig Java-Lücken gefunden. Google habe darauf verhalten reagiert.
Ein Großteil der Lücken wurde mittlerweile dennoch still und leise geschlossen. Über drei Schwachstellen können Angreifer Gowdiak zufolge zwar nicht mehr aus der Sandbox ausbrechen, aber immer noch Sicherheitsmechanismen umgehen. Google habe die Kommunikation mit Gowdiak nun gänzlich eingestellt, was der Sicherheitsforscher zum Anlass nahm, technische Details zu den Lücken zu veröffentlichen.
Gowdiak zufolge sind die Schwachstellen auf fehlerhafte Implementierungen und nachlässige Sicherheitsprüfungen zurückzuführen. Alle an Google gemeldeten Sicherheitslücken sollen sich in der obersten Sicherheitsebene der Java-Implementierung befinden. Die zurückhaltende Art von Google führt Gowdiak darauf zurück, dass der Konzern sich auf die weiteren Sicherheitsmechanismen der Sandbox der Java-VMs verlässt. (des)
