Contourner le bac à sable de Google App Engine

Security Explorations assure avoir trouvé rien moins qu’une trentaine de vulnérabilités permettant de contourner le bac à sable de Google App Engine.

Security Explorations, cabinet de recherche en sécurité et vulnérabilités, assure avoir trouvé rien moins qu’une trentaine de vulnérabilités permettant de contourner le bac à sable (sandbox) de Google App Engine.

Dans un message sur la liste de distribution dédiée au full discloruse, Adam Gowdiak, fondateur et Pdg de l’entreprise, explique ainsi avoir réussi à contourner les mécanismes de mise en liste blanche de classes JRE et « une évasion complète de la sandbox de sécurité pour machines virtuelles Java ». Mais ce n’est pas tout : « nous avons réussi l’exécution de code natif […] à accéder à des fichiers (binaires et classes) compromettant le bac à sable JRE », notamment.

Les expériences réalisées pour effectuer ces découvertes ont conduit à la suspension du compte Google Apps Engine de Security Explorations, qui appelle à sa réouverture afin de poursuivre ses recherches.

Pour approfondir sur Sécurité du Cloud

Close