安全專家披露Google App Engine漏洞

責任編輯:editor04

2015-05-16 20:48:12

摘自:cnbeta網站

摘要:谷歌的Project Zero項目一向以“90天期限”著名,曾經成功地在微軟未發(fā)布補丁之前公開Windows系統(tǒng)的漏洞細節(jié)和演示代碼。值得注意的是,去年的12月,安全機構向谷歌提交了Google App Engine的漏洞,然而,在過去了6個月之久后,還有5個漏洞沒有被修復。

摘要:谷歌的Project Zero項目一向以“90天期限”著名,曾經成功地在微軟未發(fā)布補丁之前公開Windows系統(tǒng)的漏洞細節(jié)和演示代碼。但這一次,輪到別人出手了。安全研究機構近日披露Google App Engine的漏洞細節(jié),同樣也公布了具體的攻擊演示手法。安全機構在三個星期以前向谷歌提交了這7個漏洞,但未收到谷歌的任何回復。

安全專家披露Google App Engine漏洞

根據該安全人員的研究,Google App Engine的漏洞允許完整Java VM沙箱逃脫。如果實現了轉義,則可以取得系統(tǒng)的完整控制權限,包括任意代執(zhí)行。但谷歌并未就安全人員發(fā)現的問題做出任何回復,并不承認或否認漏洞的存在。由于在三個星期后未得到谷歌的任何回復,安全人員選擇了公開漏洞。

外媒就此聯(lián)系了谷歌,谷歌回復稱,一位研究員最近報告了一個已知的安全問題,影響Google App Engine的安全層。我們正在嘗試減輕危害,目前用戶不需要采取任何行動。

值得注意的是,去年的12月,安全機構向谷歌提交了Google App Engine的漏洞,然而,在過去了6個月之久后,還有5個漏洞沒有被修復。

鏈接已復制,快去分享吧

企業(yè)網版權所有?2010-2024 京ICP備09108050號-6京公網安備 11010502049343號