Threatpost - The First Stop For Security News

Threatpostに掲載された記事「Researchers Disclose Further Vulnerabilities in Google App Engine|threatpost」が5月15日(米国時間)、Google App Engine for Javaに依然として複数の脆弱性が存在していると伝えた。Google App Engine for Javaのサンドボックスを回避できる脆弱性とされており、「[SE-2014-02] Unconfirmed / unpatched vulnerabilities in Google App Engine|Full Disclosure」に詳細が公開されている。

この脆弱性を発表したのはセキュリティファームであるSecurity Explorationsの研究者。同脆弱性に関してGoogleに報告したものの、3週間経っても公式な返答が得られなかったなどの理由から、Fill Disclosureなど複数のサイトに公開したとしている。攻撃の手法として、Java環境へのアクセスが得られるところまでは公開されているが、そこから先は明らかにされていない。

指摘されている脆弱性が実際にアプリケーションを運用するうえでどの程度の危険性を伴うかは今のところ不明。Google App Engine for Javaを使用している場合、Googleやセキュリティファームまたは該当する機関からの発表などに注意しておきたい。