安全专家披露 Google App Engine 漏洞

oschina
 oschina
发布于 2015年05月16日
收藏 6

谷歌的Project Zero项目一向以“90天期限”著名,曾经成功地在微软未发布补丁之前公开Windows系统的漏洞细节和演示代码。但这一次,轮到别人出手了。安全研究机构近日披露Google App Engine的漏洞细节,同样也公布了具体的攻击演示手法。安全机构在三个星期以前向谷歌提交了这7个漏洞,但未收到谷歌的任何回复。

根据该安全人员的研究,Google App Engine的漏洞允许完整Java VM沙箱逃脱。如果实现了转义,则可以取得系统的完整控制权限,包括任意代执行。但谷歌并未就安全人员发现的问题做出任何回复,并不承认或否认漏洞的存 在。由于在三个星期后未得到谷歌的任何回复,安全人员选择了公开漏洞。

外媒就此联系了谷歌,谷歌回复称,一位研究员最近报告了一个已知的安全问题,影响Google App Engine的安全层。我们正在尝试减轻危害,目前用户不需要采取任何行动。

值得注意的是,去年的12月,安全机构向谷歌提交了Google App Engine的漏洞,然而,在过去了6个月之久后,还有5个漏洞没有被修复。

编译自:ZDNet

稿源:roustar31

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:安全专家披露 Google App Engine 漏洞
加载中

最新评论(6

开源中国最大五毛
开源中国最大五毛
国内也有家安全公司也能做到找谷歌的洞。

还给谷歌提交了 google sandbox bypass 邮件。

还收到了谷歌的支票。
纵使有花兼明月何堪无酒亦无人
纵使有花兼明月何堪无酒亦无人
谷歌从来不管老版本的。
MGL_TECH
MGL_TECH
有些人巴不得Google出事
南湖船老大
南湖船老大
出来混,总是要还的
南湖船老大
南湖船老大
出来混,总是要还的
开源中国匿名会员
开源中国匿名会员
去年?我们上个月不是升级了版本么,原先的版本已经不被技术支持了。
返回顶部
顶部