报应?黑客向谷歌提交漏洞报告 三周无回应后将其公开
利用这些漏洞,攻击者可以在谷歌免费的云平台Google App Engine上执行恶意的Java应用,甚至能够打破沙盒的第一层并在高度授权的自然环境中执行远程代码。
本周五,波兰安全公司Security Explorations首席执行官Adam Gowdiak表示在谷歌服务中发现了7处漏洞,其中大部分已经在三周前向谷歌总部进行了汇报,不过截至目前谷歌官方并未对此进行修复,甚至并未得到谷歌官方的确认。利用这些漏洞,攻击者可以在谷歌免费的云平台Google App Engine上执行恶意的Java应用,甚至能够打破沙盒的第一层并在高度授权的自然环境中执行远程代码。
恶意的黑客能够在这个高度受限的网络中创立据点,并攻击低安全级别的资产并从谷歌服务器和Java运行环境中窃取敏感信息。在未获得谷歌官方的认可之后,Gowdiak决定全文披露这些漏洞,他写道:“在三周内我至今并未收到任何官方的确认信息。”日前谷歌成立了Project Zero项目,主要寻找Windows和Mac OS X的漏洞,并在微软和苹果还未修复只要到了三个月就会自动公开,而现在这样算不算是一种“报应”哪?
关于漏洞的细节,可以访问
1:http://www.security-explorations.com/materials/SE-2014-02-GOOGLE-3.pdf
2.http://www.security-explorations.com/materials/SE-2014-02-GOOGLE-4.pdf
3.http://www.security-explorations.com/materials/SE-2014-02-GOOGLE-5.pdf
4.http://www.security-explorations.com/materials/SE-2014-02-GOOGLE-6.pdf
恶意的黑客能够在这个高度受限的网络中创立据点,并攻击低安全级别的资产并从谷歌服务器和Java运行环境中窃取敏感信息。在未获得谷歌官方的认可之后,Gowdiak决定全文披露这些漏洞,他写道:“在三周内我至今并未收到任何官方的确认信息。”日前谷歌成立了Project Zero项目,主要寻找Windows和Mac OS X的漏洞,并在微软和苹果还未修复只要到了三个月就会自动公开,而现在这样算不算是一种“报应”哪?
关于漏洞的细节,可以访问
1:http://www.security-explorations.com/materials/SE-2014-02-GOOGLE-3.pdf
2.http://www.security-explorations.com/materials/SE-2014-02-GOOGLE-4.pdf
3.http://www.security-explorations.com/materials/SE-2014-02-GOOGLE-5.pdf
4.http://www.security-explorations.com/materials/SE-2014-02-GOOGLE-6.pdf
关于作者
评论2次
GAE的沙盒被破了。。。
关于漏洞的细节,可以访问1, 2, 3和 4 , LZ,1234在哪里?