Новые уязвимости в Google App Engine

Александр Панасенко 18 Мая 2015 - 13:51

...

Польская хакерская фирма Security Explorations обнаружила семь уязвимостей в Java-платформе, которая лежит в основе облачного хостинга Google App Engine (GAE). Используя эти баги, владелец одной из виртуальных машин на хостинге GAE может выйти далеко за пределы своих полномочий.

Security Explorations в последнее годы сделала себе имя, публикуя несчётное количество уязвимостей в Oracle Java. Теперь они принялись эксплуатировать эти баги на практике. На платформе GAE ими зафиксировано семь уязвимостей. Также опубликованы демонстрационные программы для взлома с использованием указанных уязвимостей, передает xakep.ru.

Три из семи багов допускают полный выход из песочницы GAE Java, которая используется для изоляции виртуальных машин в целях безопасности. Злоумышленник может извлечь информацию о Java Runtime Environment и внутренних сервисах и протоколах Google, что позволяет ему продолжить атаку с учётом этих данных, нацеливаясь уже на саму платформу GAE.

Директор компании Security Explorations Адам Говдяк (Adam Gowdiak) сказал, что его компания в течение трёх недель не получала ответа от Google. Он также раскритиковал технологического гиганта за то, что его сотрудникам понадобилось несколько дней, чтобы запустить PoC-код и прочитать отчёт. По его словам, такое весьма удивительно, учитывая агрессивный подход Google к публикации уязвимостей в сторонних продуктах, чем занимается подразделение Project X.

Говдяк считает, что по крайней мере две из указанных уязвимостей были втихую закрыты без уведомления Security Explorations и без соответствующего признания их заслуг.

В декабре прошлого года Security Explorations получила максимально возможную награду $50 тыс. по программе вознаграждения за найденные уязвимости, когда нашла 30 багов в App Engine.

Следующая главная новость »

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!

Екатерина Быстрова 11 Июня 2026 - 10:08

Утечки информации Случайные утечки Случайное разглашение данных GenAI (генеративный искусственный интеллект)Соответствие законодательству РФ Общее Наталья Касперская

Наталья Касперская призвала регулировать сливы данных в ChatGPT

Пока сотрудники российских компаний массово загружают документы в ChatGPT и другие ИИ-сервисы, государству пора задуматься о регулировании этой сферы. Такое мнение высказала президент группы компаний InfoWatch и председатель правления ассоциации «Отечественный софт» Наталья Касперская.

Отвечая на вопрос ТАСС о необходимости государственного вмешательства, она была предельно лаконична: «Однозначно».

По мнению Касперской, искусственный интеллект сегодня является одной из самых опасных технологий, созданных человеком за последние десятилетия.

«После ядерной бомбы. Но о рисках никто не говорит», — заявила она.

Повод для беспокойства у представителей отрасли действительно есть. Согласно исследованию компании «Солар», опубликованному в начале года, за 2025 год сотрудники российских организаций передали в публичные ИИ-сервисы в 30 раз больше конфиденциальной информации, чем годом ранее.

Причём речь идёт не о безобидных запросах вроде. В числе данных, которые пользователи отправляли нейросетям, оказались презентации компаний, стратегические документы, аналитические таблицы и даже фрагменты программного кода.

Проблему уже давно называют теневым ИИ по аналогии с теневыми ИТ-сервисами. Формально компания может запрещать использование внешних нейросетей, но сотрудники продолжают пользоваться ими для работы, просто делают это самостоятельно и без контроля со стороны работодателя.

Любопытно, что даже внутри ИБ-сообщества пока нет единого ответа на вопрос, как именно бороться с такими утечками. Ранее глава «Лаборатории Касперского» Евгений Касперский признавал, что универсального решения пока не существует. При этом он напоминал, что за разглашение коммерческой информации в России уже предусмотрена уголовная ответственность.

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!