本周五,波兰安全公司 Security Explorations 首席执行官 Adam Gowdiak 表示在谷歌服务中发现了 7 处漏洞,其中大部分已经在三周前向谷歌总部进行了汇报,不过截至目前谷歌官方并未对此进行修复,甚至并未得到谷歌官方的确认。利用这些漏洞,攻击者可以在谷歌免费的云平台 Google App Engine 上执行恶意的 Java 应用,甚至能够打破沙盒的第一层并在高度授权的自然环境中执行远程代码。
恶意的黑客能够在这个高度受限的网络中创立据点,并攻击低安全级别的资产并从谷歌服务器和 Java 运行环境中窃取敏感信息。在未获得谷歌官方的认可之后,Gowdiak 决定全文披露这些漏洞,他写道:“在三周内我至今并未收到任何官方的确认信息。”日前谷歌成立了 Project Zero 项目,主要寻找 Windows 和 Mac OS X 的漏洞,并在微软和苹果还未修复只要到了三个月就会自动公开,而现在这样算不算是一种“报应”哪?
关于漏洞的细节,可以访问1, 2, 3和 4