Java-Sandbox von Googles App Engine geknackt
Mehr als dreiĂźig LĂĽcken klaffen in der Java-VM von Googles App-Plattform. Forscher Adam Gowdiak ist es gelungen, durch sie bis ins darunterliegende Betriebssystem vorzustoĂźen und beliebigen Schadcode auszufĂĽhren.
- Fabian A. Scherschel
(Bild:Â Security Explorations)
Der in Java-Kreisen berühmt-berüchtigte Sicherheitsforscher Adam Gowdiak hat wieder zugeschlagen: Diesmal hat er mehr als dreißig Java-Lücken in Googles Web-Plattform App Engine gefunden. Die Lücken ermöglichen es ihm und seinem Team nach eigenen Angaben, aus der Sicherheits-Sandbox der Java-VM auszubrechen und beliebigen Code auf dem unterliegenden System auszuführen.
Durch Ausnutzen der LĂĽcke ist es Gowdiak nach eigenen Angaben gelungen, viel ĂĽber die Java-VM der App Engine zu lernen. Was wahrscheinlich zur Endeckung weiterer Schwachstellen gefĂĽhrt hat oder noch fĂĽhren wird.
Gowdiak gab die Existenz der Lücken nun bekannt, da Google das Test-Konto der Forscher gesperrt hat. Er gibt sich dabei zum Teil selbst Schuld: Diese Woche habe man aggressiver getestet; Google habe das wohl bemerkt. Gowdiak bittet Google nun darum, sein Konto wieder freizuschalten, damit er seine Tests fortsetzen kann. Sein Team werde dann einen ausführlichen Report vorbereiten und vertraulich an die Firma melden. Angesichts der positiven Einstellung der Firma zu verantwortungsvollen Sicherheitsforschern, die Googles Software aus eigenem Anreiz nach Fehler absuchen, hält er das für realistisch. (fab)
