محققان امنیتی توانستند چندین آسیب پذیری را در محیط جاوای Google App Engine کشف کنند.
"موتور گوگل اپ" بخشی از پلت فرم ابر گوگل است که محققان Security Explorations گزارش دادند که چندین آسیب پذیری جدی را در محیط جاوای این اپلیکیشن کشف کرده اند.
Google App Engine یک PaaS است که به برنامه های سفارشی سازی شده اجازه می دهد تا با استفاده از دامنه وسیعی از زبان های معروف و چارچوبهای کاری اجرا شوند. بسیاری از این برنامه ها در محیط جاوا ساخته می شوند.
براساس اعلام مرکز ماهر، آسیب پذیری های کشف شده به مهاجمان اجازه می دهد تا محیط sandbox در Java VM را دور بزنند و کد دلخواه را اجرا کنند؛ محققان Security Explorations اظهار داشتند که نتوانستند تحقیقات خود را کامل کنند چرا که شرکت گوگل حساب کاربری محیط تست Google App Engine را معلق کرده است.
Google App Engine تنها اجازه دسترسی به یک زیرمجموعه با نام JRE Class White List را می دهد. محققان توانستند به این فهرست نفوذ کرده و دسترسی کامل JRE را بدست آورند. آن ها 22 مساله فرار از sandbox را پیدا کردند و توانستند از 17 آسیب پذیری سوء استفاده کنند؛ همچنین توانستند کد محلی را اجرا کرده و به فایل های موجود در JRE دسترسی یابند.