資安業者：Google App Engine有超過30個安全漏洞

資安業者Security Explorations執行長Adam Gowdiak於安全資訊網站Seclists.org上指出，他們在Google App Engine找到能夠完全繞過Java VM沙箱機制的安全漏洞，各種漏洞加起來應該超過30個。

Security Explorations已經打造17個概念性驗證程式，可用來攻擊其中的22個安全漏洞，還可於底層系統上執行程式並存取檔案。Gowdiak表示，可能是因為Google發現他們不斷在探測Google App Engine的沙箱機制，因而終止他們在Google App Engine上的測試帳號，使得他們未能完成所有的調查。

除了已經確定的22個漏洞外，還有一些漏洞尚待驗證，但Security Explorations估計Google App Engine至少含有超過30個漏洞。

Google於Java虛擬機器上所設計的沙箱功能是一個受限的環境，在該環境中，應用程式可於App Engine中執行程式、儲存與查詢資料，但無法寫入檔案系統或是執行其他的系統呼叫，目的是為讓App Engine能傳遞要求給不同伺服上的應用程式，同時避免應用程式之間的相互干擾。

根據外電報導，Gowdiak是在上周六（12/6）公布相關漏洞，並在Google與其接觸後在周日將相關的漏洞與概念驗證程式交給了Google，目前Google正在研究相關資料，但尚未對外說明。（編譯/陳曉莉）