压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　安全研究人員在谷歌應(yīng)用引擎（Google App Engine）的Java環(huán)境中發(fā)現(xiàn)了大量高危漏洞，攻擊者可以利用這些漏洞繞過谷歌安全沙盒的保護(hù)。

　　谷歌應(yīng)用引擎（Google App Engine）是谷歌管理的數(shù)據(jù)中心中用于Web應(yīng)用程序開發(fā)和托管的平臺，也是谷歌云計算的一部分。GAE（Google App Engine）還支持用戶使用多種語言和框架開發(fā)應(yīng)用程序，但它們中的大部分都是建立在Java環(huán)境中。

　　沙盒提供獨立或者密閉的空間，能像實際的網(wǎng)絡(luò)但又并不與實際網(wǎng)絡(luò)相連接一樣工作。在這個孤立空間中，程序應(yīng)用也可以被下載、解壓和測試，然后再移植到實際的服務(wù)器上，從而能夠防止惡意軟件致使網(wǎng)絡(luò)發(fā)生紊亂。攻擊者可以利用該漏洞實現(xiàn)一個完整的Java VM（虛擬機(jī)）安全沙盒逃逸，執(zhí)行任意的代碼。研究人員估計漏洞的數(shù)量要超過30個。

　　安全研究人員利用該漏洞繞過了谷歌應(yīng)用引擎JRE類的白名單，獲得了完整的JRE（Java運(yùn)行環(huán)境）訪問權(quán)。他們發(fā)現(xiàn)了22個Java VM（虛擬存貯器）安全沙盒逃逸漏洞，并已成功測試了其中的17個。研究人員可以執(zhí)行原生代碼（native code），執(zhí)行任意庫/系統(tǒng)調(diào)用，獲得組成JRE沙盒的文件（二進(jìn)制/類）的訪問權(quán)限。他們還可以從二進(jìn)制文件中提取DWARF信息、從Java類、二進(jìn)制文件中提取PROTOBUF定義。