Mehr als dreißig Java-Lücken hat der in Java-Kreisen berühmt-berüchtigte Sicherheitsforscher Adam Gowdiak in Googles Web-Plattform App Engine gefunden. Nach eigenen Angaben ermöglichen die Lücken es ihm und seinem Team aus der Sicherheits-Sandbox der Java-VM auszubrechen und beliebigen Code auf dem unterliegenden System auszuführen.

Gowdiak hat nach eigenen Angaben durch das Ausnutzen der Lücke viel über die Java-VM der App Engine gelernt. Da Google das Test-Konto der Forscher gesperrt hat, hat er die Existenz der Lücken bekannt gegeben. Teilweise gibt er sich selbst die Schuld, da Gowdiak und sein Team diese Woche aggressiver getestet haben. Dies soll Google bemerkt haben. Nun bittet Gowdiak Google darum, das Test-Konto wieder freizuschalten, um die Tests fortsetzen zu können. Er und sein Team haben dann vor, einen ausführlichen Report vorzubereiten und vertraulich an die Firma zu senden. Da Google verantwortungsvollen Sicherheitsforschern, die ihre Software aus eigenem Anreiz nach Fehler absuchen, positiv gegenüber eingestellt ist, hält er das auch für realistisch.

(nd, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE