摘要:谷歌的Project Zero项目一向以“90天期限”著名,曾经成功地在微软未发布补丁之前公开Windows系统的漏洞细节和演示代码。但这一次,轮到别人出手了。安全研究机构近日披露Google App Engine的漏洞细节,同样也公布了具体的攻击演示手法。安全机构在三个星期以前向谷歌提交了这7个漏洞,但未收到谷歌的任何回复。
根据该安全人员的研究,Google App Engine的漏洞允许完整Java VM沙箱逃脱。如果实现了转义,则可以取得系统的完整控制权限,包括任意代执行。但谷歌并未就安全人员发现的问题做出任何回复,并不承认或否认漏洞的存在。由于在三个星期后未得到谷歌的任何回复,安全人员选择了公开漏洞。
外媒就此联系了谷歌,谷歌回复称,一位研究员最近报告了一个已知的安全问题,影响Google App Engine的安全层。我们正在尝试减轻危害,目前用户不需要采取任何行动。
值得注意的是,去年的12月,安全机构向谷歌提交了Google App Engine的漏洞,然而,在过去了6个月之久后,还有5个漏洞没有被修复。
豫公网安备 41010402002388号 网站地图 http://www.ur10.com/