Google App Engineに脆弱性報告、研修者のアカウント停止で検証中断に

App EngineにJava VMのセキュリティサンドボックス迂回などの脆弱性が見つかったとして、セキュリティ調査会社が概略を公表した。

[鈴木聖子，ITmedia]

　米GoogleのIaaSサービス「Google App Engine」（GAE）にJavaサンドボックスを迂回されてしまう脆弱性が多数見つかったとして、ポーランドのセキュリティ調査会社Security Explorationsが12月6日、セキュリティメーリングリストのFull Disclosureに概略を投稿した。

　投稿によると、GAEにJava VMのセキュリティサンドボックス迂回や任意のコード実行などの脆弱性が多数見つかった。合計すると30件を超える見通しだという。Java VMサンドボックスを完全迂回できる問題は、計22件のうち17件のコンセプトを実証したとしている。

　ところが6日になって、Security Explorationsの研究者がテスト用に使っていたGAEアカウントが停止され、調査を続けることができなくなったという。研究者は調査のために「基盤のOSサンドボックスをやや積極的に突き回したり、エラーコードやサンドボックスの性質について詳しく知るためにさまざまなシステムコールを出したりした」と認めている。

　しかし、まだ複数の脆弱性の検証や攻撃アイデアの検証が残っていると研究者は説明、「Googleがこのアカウントを再び有効にしてわれわれの研究を続けさせてくれることを願う」と記している。