Google App Engine y sus más de 30 vulnerabilidades

Escrito por Adrián Crespo
Seguridad
0

Las herramientas de desarrollo se encuentran  ala orden del día y el Gigante de Internet es una de las compañías que ha apostado por estas. Cuando lanzó Google App Engine, desde Mountain View hicieron especial hincapié en la seguridad que poseía esta herramienta. Sin embargo, meses más tarde desde su lanzamiento se ha observado que existen a día de hoy más de 30 vulnerabilidades, permitiendo evitar las sandbox existentes.

La herramienta sirve para desarrollar aplicaciones web y alojarlas en los servidores de Google, permitiendo ejecutar y desarrollar estas haciendo uso de una gran cantidad de lenguajes de programación, entre ellos Java. Mencionamos este lenguaje porque hace tiempo que se detectó una gran cantidad de vulnerabilidades (sobre todo después de su adquisición por parte de Oracle) provocando problemas de seguridad en los equipos que tengan instalada esta plataforma o hagan uso de ella.

Los más de 30 problemas encontrados en Google Apps Engine están relacionados con fallos de Java que no se han corregido. Haciendo uso de estas vulnerabilidades se puede ganar acceso total al entorno de ejecución JRE. De las más de 30 descubiertas, 22 pertenecen a la máquina virtual de Java y a sus sandbox, siendo capaces de explotar de forma satisfactoria un total de 17.

Google ha suspendido la cuenta que utilizaban

Ya sabemos que los de Mountain View son peculiares a la hora de tratar problemas de seguridad y esta no ha sido una excepción. Mientras desarrollaban las pruebas de las vulnerabilidades su cuenta en la herramienta de desarrollo fue suspendida, evitando que las investigaciones prosperasen. Sin embargo, el grupo de desarrolladores cree que Google será comprensible y que los permitirá de nuevo retomar la actividad con su cuenta y finalizar el estudio, ya que el beneficio sería mutuo, puesto que Google Apps Engine podría poner fin a estos problemas.

A pesar de no terminar el estudio, se puede ver como Java sigue a la deriva en lo referido a seguridad y desde Oracle lo único que se hace es colocar un parche que muchas veces no soluciona nada, sino que crea problemas adicionales.

Fuente | The Hacker News