本周五，波蘭安全公司Security Explorations首席執(zhí)行官Adam Gowdiak表示在谷歌服務(wù)中發(fā)現(xiàn)了7處漏洞，其中大部分已經(jīng)在三周前向谷歌總部進(jìn)行了匯報(bào)，不過(guò)截至目前谷歌官方并未對(duì)此進(jìn)行修復(fù)，甚至并未得到谷歌官方的確認(rèn)。利用這些漏洞，攻擊者可以在谷歌免費(fèi)的云平臺(tái)Google App Engine上執(zhí)行惡意的Java應(yīng)用，甚至能夠打破沙盒的第一層并在高度授權(quán)的自然環(huán)境中執(zhí)行遠(yuǎn)程代碼。

惡意的黑客能夠在這個(gè)高度受限的網(wǎng)絡(luò)中創(chuàng)立據(jù)點(diǎn)，并攻擊低安全級(jí)別的資產(chǎn)并從谷歌服務(wù)器和Java運(yùn)行環(huán)境中竊取敏感信息。在未獲得谷歌官方的認(rèn)可之后，Gowdiak決定全文披露這些漏洞，他寫道：“在三周內(nèi)我至今并未收到任何官方的確認(rèn)信息。”日前谷歌成立了Project Zero項(xiàng)目，主要尋找Windows和Mac OS X的漏洞，并在微軟和蘋果還未修復(fù)只要到了三個(gè)月就會(huì)自動(dòng)公開，而現(xiàn)在這樣算不算是一種“報(bào)應(yīng)”哪？