Изменения, внесенные специалистами Google в Google App Engine (GAE) для Java, продолжают вызывать опасения у ИБ-экспертов.

На этой неделе Oracle устранила уязвимость в Java SE, которая также присутствует в продукте Google, после того как компания в частном порядке получила отчет от обнаруживших ее багхантеров из польской ИБ-компании Security Explorations, которые специализируются на поиске уязвимостей в Java.

Этот баг побега из песочницы был устранен патчем, выпущенным в рамках критического квартального обновления, и является третьей подобной уязвимостью, закрытой с декабря прошлого года.

В отличие от двух других брешей, эта кроется в коде Java HotSpot Virtual Machine. По заявлениям представителей Oracle, HotSpot VM является ключевым компонентом Java и реализован согласно спецификациям Java VM. Как отметил основатель и гендиректор Security Explorations Адам Говдяк (Adam Gowdiak), изменения, внесенные экспертами Google в GAE для Java, позволяют атакующему провести эксплойт уязвимости «крайне бесхитростным способом».

«Причиной всего этого являются изменения, внесенные в модель безопасности Java, сделанные специалистами Google», — заявил Говдяк, пояснив, что причиной подобных модификаций послужило желание Google позволить использовать в GAE модифицированные загрузчики классов.

«Использование подобных загрузчиков запрещено моделью безопасности Java (используемой Java-апплетами и Webstart-приложениями), поскольку это создает существенный риск нарушения безопасности, — пишет эксперт. — Многие из проблем, обнаруженных нами в GAE, связаны именно с этим функционалом».

По словам эксперта, уязвимость вызвана некорректной инициализацией непубличных интерфейсных слотов, что чревато обходом защитных мер в Java SE 7 и полным обходом песочницы в случае с GAE.

«Уязвимости подвержены GAE для Java и ее первый уровень песочницы (песочница, созданная Google поверх JRE, дабы предотвратить эксплойт Java-уязвимостей вредоносными Java-приложениями)», — пишет Говдяк.

Для эксплойта уязвимости и побега из обеих песочниц атакующему понадобится создать специализированный вредоносный Java-апплет.

«В случае удачного эксплойта атакующий сможет получить немало информации о JRE-песочнице, а также о внутренних службах и протоколах Google (программном обеспечении среднего уровня, на котором работает вся инфраструктура Google), — поясняет эксперт. — Уязвимость также может быть использована как отправная точка для последующих атак на OS-песочницу и RPC-сервисы, видимые из среды Java-песочницы».

В мае специалисты Security Explorations обнародовали подробности и PoC-код для трех обходов Java-песочницы, использующих уязвимости в GAE для Java. По всей видимости, эти баги были устранены тихим патчем, поскольку PoC-код перестал работать в производственной версии GAE, однако о выпуске официального патча Google не упомянула, заявил Говдяк.

В декабре эксперты Security Explorations обнаружили в этом же продукте Google более 30 уязвимостей, эксплойт многих из них чреват удаленным исполнением кода или побегом из песочницы. Однако, как заявили исследователи, их тестовая учетная запись была заблокирована, что помешало провести своевременный анализ GAE.

«Без всякого сомнения, это сбой оперативной безопасности на нашем конце — на этой неделе мы чуть более агрессивно проверяли все вокруг низлежащего сэндбокса ОС (инициировали различные системные вызовы, чтобы лучше понять природу кода ошибки 202, самого сэндбокса и т.д.)», — писал Говдяк в декабре прошлого года в сообщении на сайте списков рассылки Full Disclosure.

Категории: Уязвимости