編集部主催セミナー「セキュリティクライシス時代を乗り切る防衛術とは何か?」開催!
標的型サイバー攻撃や内部不正など深刻化するセキュリティのリスクにどう立ち向かうべきか? ANAグループでの取り組み事例など最新の情報をお届けします。
参加のお申し込みはこちら
東京会場:12月10日(水)10:00〜17:25、大阪会場:12月12日(金)10:00〜17:25
米GoogleのIaaSサービス「Google App Engine」(GAE)にJavaサンドボックスを迂回されてしまう脆弱性が多数見つかったとして、ポーランドのセキュリティ調査会社Security Explorationsが12月6日、セキュリティメーリングリストのFull Disclosureに概略を投稿した。
投稿によると、GAEにJava VMのセキュリティサンドボックス迂回や任意のコード実行などの脆弱性が多数見つかった。合計すると30件を超える見通しだという。Java VMサンドボックスを完全迂回できる問題は、計22件のうち17件のコンセプトを実証したとしている。
ところが6日になって、Security Explorationsの研究者がテスト用に使っていたGAEアカウントが停止され、調査を続けることができなくなったという。研究者は調査のために「基盤のOSサンドボックスをやや積極的に突き回したり、エラーコードやサンドボックスの性質について詳しく知るためにさまざまなシステムコールを出したりした」と認めている。
しかし、まだ複数の脆弱性の検証や攻撃アイデアの検証が残っていると研究者は説明、「Googleがこのアカウントを再び有効にしてわれわれの研究を続けさせてくれることを願う」と記している。
関連記事
- 変形文字の判読はもう不要、Googleが新型CAPTCHA開発
- Google、TLS/SSLトラフィックのセキュリティテストツールを公開
- Google、「Chrome 40」でSSL 3.0を完全無効化へ
- Google、著作権侵害対策を強化──“パイレーツアップデート”や新広告で
関連リンク
Copyright© 2014 ITmedia, Inc. All Rights Reserved.