memo

米Googleの「Google App Engine（GAE）for Java」に見つかった複数の脆弱性が未解決のままになっているとして、ポーランドのセキュリティ企業Security Explorationsが5月15日、詳しい情報とコンセプト実証コードを公開した。Googleは他社に対しては即座に対応を要求しておきながら、自分たちの製品に報告された脆弱性は放置したり黙って修正したりしていると批判している。
　Security Explorationsによると、同社は2014年12月以来、GAEに多数の脆弱性を発見してGoogleに報告し、Googleも修正などの対応を講じてきた。しかしまだ未解決の脆弱性が複数残っていて、悪用された場合、攻撃者がサンドボックスを抜け出して任意のコードを実行できてしまう恐れがあるという。
　これら未解決の脆弱性については報告から3週間たってもGoogleは確認も否定もしていないとSecurity Explorationsは伝え、「世界中に何百人ものセキュリティ技術者がいると主張していて、他社に対しては即座に対応することを期待しているベンダーだけに、特に憂慮される」と指摘する。

「Googleが脆弱性を放置」と、セキュリティ企業が批判 - ITmedia エンタープライズ