最近谷歌零点项目漏洞研究团队因在90天期限内公布其他厂商软件中安全漏洞(不管补丁是否已准备好)而备受关注。如今,波兰安全公司Security Explorations在上周五公布了谷歌云软件中存在的几个未修复漏洞技术详情,原因是谷歌没有及时回应这一问题。
谷歌应用引擎(GAE,企业在云中运行并维护应用的托管服务)软件中出现三个完整的Java沙箱逃逸漏洞,可用来收集Java 运行环境沙箱本身的许多信息。安全研究人员表示,这些漏洞是一个不错的起始点,可对抗OS沙箱及沙箱Java环境可见的RPC服务。此外,该公司还披露了 POC,展示如何利用这些漏洞绕过GAE中的Java安全沙箱。
目前尚不清楚谷歌如何看待Security Explorations披露的漏洞严重程度。去年12月份,Security Explorations表示发布漏洞之后,谷歌起初暂停了自己的GAE账户,随后公司称收到了来自谷歌5万美元的奖励。公司表示,这次给了谷歌三周的时 间来确认或否认已发现的漏洞但仍未得到回应。
本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士www.codesafe.cn”。