2. Hírek
  3. Biztonság

Több mint 30 biztonsági rés kapcsolódik a Google egyik platformjához

Egy neves biztonsági szakember, a Security Explorations alapítója és vezetője, Adam Gowdiak december hatodikán a közkedvelt és tekintélyes levelezési listán, a Full Disclosure-ön jelentette be, hogy a Google App Engine (GAE) platformszolgáltatásának Java-környezetében olyan sérülékenységeket tártak fel, melyek alkalmasak arra, hogy egy biztonsági vonalat, az úgynevezett homokozót (sandbox) támadók meg tudják kerülni. Méghozzá nem is kevés résről van szó: a bejelentés szerint csapatánál több mint harmincat számoltak össze.

A sokak által használt felhős szolgáltatást, a Google App Engine-t arra találták ki, hogy segítsék és támogassák a webes alkalmazások fejlesztőit. A leggyakrabban használt programnyelveket és keretrendszereket támogató PaaS-szolgáltatás (Platform as a Service) népszerű a programozók körében, és most ebben a rendszerben a Java-környezetben fedték fel a a tetszőleges kódok futtatását megkönnyítő sebezhetőségeket.

A leírás szerint a rések lehetővé teszik, hogy valaki megkerülje a JRE Classes által engedélyezett művelettiltásokat (vagyis nemcsak az engedélyezési listán szereplő akciókat hajthatják végre), és teljes hozzáférést szerezhetnek a futtatási környezethez (Java Runtime Environment – JRE). 17 esetben sikeres exploitokat készítettek a sebezhetőség tesztelésére. A rések kihasználásával a kutatók képesek voltak natív kódokat futtatni.

Ám a vizsgálatot nem tudták teljes egészében lefolytatni, mivel a Google felfüggesztette az App Engine fiókjukat. Ezért a munka még áll, ám a kutatók bíznak a cégben, akik a legtöbbször igen pozitívan állnak a biztonsági kutatók figyelmeztetéseihez, és remélik, hogy hamarosan megcsinálhatják az összes tesztjüket.

Azóta történt

Előzmények

  • Pudli vagy terrier? Ellenőrizd a böngésződet!

    Épp azon a napon hozták nyilvánosságra az SSL hibáját, amikor a titkosítási protokoll kifejlesztője, a Netscape ünnepelheti születésnapját. A megoldás egyszerű: tiltani kell az SSL 3.0 használatát. A felfedező Google reméli, hogy a sebezhető technológia gyorsan kikopik a használatból, és mind az üzemeltetőket, mind a szofverfejlesztőket együttműködésre kéri.

    Biztonság 105

  • Shellshock: sokk a nyílt szoftverek támogatóinak

    Különlegesen súlyos sebezhetőséget fedeztek fel, mely sokmillió eszközt érinthet a világon. A javítások készülnek, de máris egyre többen kérdezik meg: hogyan maradhatott észrevétlen ez a hiba több mint húsz éven át? Elsősorban az otthoni eszközök, okostelefonok, routerek vannak nagy veszélyben.

    Biztonság 280

  • Komoly sebezhetőség a Microsoft vírusvédelmi rendszerében

    Felhasználói vagy rendszergazdai oldalon nincs teendő, a cég ígérete szerint két napon belül mindenhol automatikusan frissülnek a szoftverek.

    Biztonság 19

  • Még mindig több százezer szerveren lehet kihasználni a Heartbleed hibát

    Az OpenSSL évekig megbújó kritikus sérülékenységre egy hónapja derült fény. A javításra nem kellett sokat várni, de egy biztonsági szakember szerint még mindig 300 ezernél is több az így támadható szerver.

    Biztonság 14