米Googleの「Google App Engine（GAE）for Java」に見つかった複数の脆弱性が未解決のままになっているとして、ポーランドのセキュリティ企業Security Explorationsが5月15日、詳しい情報とコンセプト実証コードを公開した。Googleは他社に対しては即座に対応を要求しておきながら、自分たちの製品に報告された脆弱性は放置したり黙って修正したりしていると批判している。

Security Explorationsによると、同社は2014年12月以来、GAEに多数の脆弱性を発見してGoogleに報告し、Googleも修正などの対応を講じてきた。しかしまだ未解決の脆弱性が複数残っていて、悪用された場合、攻撃者がサンドボックスを抜け出して任意のコードを実行できてしまう恐れがあるという。

これら未解決の脆弱性については報告から3週間たってもGoogleは確認も否定もしていないとSecurity Explorationsは伝え、「世界中に何百人ものセキュリティ技術者がいると主張していて、他社に対しては即座に対応することを期待しているベンダーだけに、特に憂慮される」と指摘する。

また、一部の脆弱性はGoogleがSecurity Explorationsに連絡しないまま修正していたことも分かったとして、「同社の『黙って修正』のアプローチをわれわれが経験したのはこれで3度目」だとも批判した。

これまでにGoogleに報告した脆弱性は、全てGAEをJavaの脆弱性から守る目的でJREの上に実装された「追加的セキュリティ」の層に存在していた、とSecurity Explorationsは伝えている。

Copyright © ITmedia, Inc. All Rights Reserved.