Une équipe de chercheurs polonais soutient avoir trouvé plusieurs vulnérabilités non corrigées de l’environnement Java d’App Engine, la plateforme IaaS de Google. Parmi ces failles, on recense trois évitements de sandbox. Avertie, la firme américaine n’a pas donné suite pendant 3 semaines et les experts en sécurité ont alors décidé de rendre public les failles, ainsi qu’un prototype d’attaque (POC). Ce dernier ne casse pas la sandbox, mais contourne une partie d’App Engine pour ouvrir aux attaquants l’accès à l’environnement Java de la plateforme Cloud.
La société Security Explorations, à l’origine de la découverte des failles, a indiqué que les bugs proviennent en grande partie de la mauvaise application de règles de sécurité et de certains manques de contrôle dans App Engine. Le fondateur et DG de la société, Adam Gowdiak, dans la présentation de ces vulnérabilités tacle Google. « Cela ne devrait pas prendre plus de 1 ou 2 jours pour un grand acteur IT d’exécuter le POC, lire les rapports et analyser le code source ». Et d’enfoncer un peu plus le clou en ajoutant : « Surtout quand cet acteur dispose d’une équipe de sécurité comprenant des centaines d’ingénieurs à travers le monde. »
Le dirigeant soupçonne néanmoins Google d’avoir travaillé sur ces brèches de sécurité sans l’en avertir. « Du code du POC envoyé à Google a cessé de fonctionner dans une version de production de App Engine. » Pour le responsable, c’est la troisième fois que la firme de Mountain View mettrait à jour discrètement ses règles de sécurité après des informations données par Security Explorations. Traditionnellement, les sociétés comme Google récompense les chercheurs qui trouvent des failles dans leurs solutions.
Les récents bugs signalés à Google se rapportent à la couche supplémentaire de sécurité mise en place au-dessus de JRE (Java Runtime Environnement) chargée de protéger App Engine contre les vulnérabilités Java.
A lire aussi :
Google Cloud lance son propre scanner de sécurité d’applications web
Les DSI dépensent plus dans la sécurité, le Big Data et le Cloud
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.