Các nhà nghiên cứu công bố chi tiết lỗ hổng chưa được vá trong Google App Engine

Một nhóm các nhà nghiên cứu Ba Lan tuyên bố rằng tồn tại một vài lỗ hổng vá trong Google App Engines dành cho Java, bao gồm 3 lỗ hổng thoát hoàn toàn khỏi sandbox. Sau ba tuần không nhận được hồi âm của Google, nhóm nghiên cứu đã quyết định tiết lộ lỗ hổng cùng với bản chứng minh PoC.

Bản chứng minh không phá vỡ sandbox nhưng dẫn đến bypass GAE và cho phép tin tặc chiếm quyền kiểm soát môi trường GAE của Java. Security Explorations, công ty phát hiện ra lỗ hổng cho biết bug này bắt nguồn phần lớn từ việc cài đặt một vài phương thức và thiếu kiểm tra bảo mật trong App Engine.

Không cần đến 1 hay 2 ngày một công ty phần mềm lớn nhận được một bản PoC, độc báo cáo hay kết quả mã nguồn gốc của chúng tôii. Đặc biệt lại là công ty cho biết có hàng trăm kĩ sư trên toàn thế giới.” – CEO của Security Explorations ông Adam Gowdiak cho biết. Thêm vào đó một vài bản PoC gửi cho Google đã không hoạt động nữa nhưng Google không hề đưa ra bất kì thông báo nào.

Google trước đó đã giải quyết hơn 30 lỗ hổng trong App Engine mà công ty Security Explorations phát hiện năm ngoái. Công ty đã phải kiến nghị phục hồi tài khoản kiểm thử của mình sau khi tài khoản này bị Google đóng khi các nhà nghiên cứu đang tìm kiếm lỗ hổng. Tài khoản của Security Explorations dần được phục hồi và công ty đã được trao thưởng 50,000$ với 24 trên 30 lỗ hổng. Google thừa nhận rằng có nhiều lỗ hổng lợi dụng việc kiểm thử của các class Java đặc quyền.

threatpost