Google App Engineにセキュリティバイパスの脆弱性

Threatpostに掲載された記事「Researchers Disclose Further Vulnerabilities in Google App Engine｜threatpost」が5月15日(米国時間)、Google App Engine for Javaに依然として複数の脆弱性が存在していると伝えた。Google App Engine for Javaのサンドボックスを回避できる脆弱性とされており、「[SE-2014-02] Unconfirmed / unpatched vulnerabilities in Google App Engine｜Full Disclosure」に詳細が公開されている。

この脆弱性を発表したのはセキュリティファームであるSecurity Explorationsの研究者。同脆弱性に関してGoogleに報告したものの、3週間経っても公式な返答が得られなかったなどの理由から、Fill Disclosureなど複数のサイトに公開したとしている。攻撃の手法として、Java環境へのアクセスが得られるところまでは公開されているが、そこから先は明らかにされていない。