去年12月,安全研究人员在谷歌应用引擎(Google App Engine)的Java环境中发现了大量高危漏洞,攻击者可以利用这些漏洞绕过谷歌安全沙盒的保护。而近日研究人员公布了这些漏洞的技术细节和POC。
谷歌应用引擎(Google App Engine)是谷歌管理的数据中心中用于Web应用程序开发和托管的平台,也是谷歌云计算的一部分。GAE(Google App Engine)还支持用户使用多种语言和框架开发应用程序,但它们中的大部分都是建立在Java环境中。
2014年12月,这些研究人员宣布了GAE Java的一些关键漏洞,这些漏洞可以被黑客用来绕过严格的沙箱安全防御。研究人员发现了超过30个GAE的漏洞,可以用于远程代码执行和沙箱逃逸。根据报道:就在安全研究人员测试的时候,谷歌公司突然禁用了他们的GAE账户,这使得他们进一步的研究无法继续,而随后Google又将研究人员的账号重新启用并表示:鼓励挖漏洞,但应该限制在Java VM层面,而不是破入沙盒层。于是后来,研究人员又发现了GAE更多的漏洞。
目前Google公司已经修复了大部分漏洞,但仍有部分漏洞未得到响应。
谷歌应用引擎(Google App Engine)是谷歌管理的数据中心中用于Web应用程序开发和托管的平台,也是谷歌云计算的一部分。GAE(Google App Engine)还支持用户使用多种语言和框架开发应用程序,但它们中的大部分都是建立在Java环境中。
2014年12月,这些研究人员宣布了GAE Java的一些关键漏洞,这些漏洞可以被黑客用来绕过严格的沙箱安全防御。研究人员发现了超过30个GAE的漏洞,可以用于远程代码执行和沙箱逃逸。根据报道:就在安全研究人员测试的时候,谷歌公司突然禁用了他们的GAE账户,这使得他们进一步的研究无法继续,而随后Google又将研究人员的账号重新启用并表示:鼓励挖漏洞,但应该限制在Java VM层面,而不是破入沙盒层。于是后来,研究人员又发现了GAE更多的漏洞。
目前Google公司已经修复了大部分漏洞,但仍有部分漏洞未得到响应。
还没有评论,来说两句吧...