Un grupo de investigadores polacos afirma que todavía hay varias vulnerabilidades pendientes en Google App Engine (GAE) para Java, entre ellas tres fugas completas en la sandbox. Después de tres semanas de silencio en Google, Security Explorations decidió divulgar el viernes las vulnerabilidades junto con la prueba de concepto.

El código no "rompe" en sí la sandbox pero resulta en un bypass parcial a GAE y podría permitir a un atacante obtener acceso al entorno Java de GAE.

Security Explorations, la compañía que encontró los problemas, dijo que los errores se derivan en gran medida de la aplicación incorrecta de varios métodos y controles de seguridad que faltan en la App Engine.

Adam Gowdiak, fundador y consejero delegado de Security Explorations, hizo varias acometidas a Google hablando de la demora en el tiempo de respuesta de la empresa en una publicación de Full Disclosure y otros sitios en la mañana del viernes.

"No debería tomar más de uno o dos días laborales para que un proveedor de software importante ejecute el POC recibido, lea nuestro informe o consulte el código fuente". Gowdiak escribió: "Esto se refiere especialmente al proovedor que afirma que su equipo de seguridad tiene cientos de ingenieros de seguridad de todo el mundo."

Gowdiak agrega que varias pruebas de los códigos que envió a Google han dejado de funcionar en una versión de producción del GAE, pero que Google no ha confirmado en realidad que hayan solucionado los problemas. Si los problemas se arreglaron, afirma que sería la tercera vez que Google arregla "en silencio" las vulnerabilidades que su compañía ha señalado a su atención.

Irónicamente, Security Explorations afirma que todos los errores reportados a Google han pertenecido a la capa de "mayor seguridad", implementada en la parte superior del JRE que se supone debe proteger a GAE contra las vulnerabilidades de Java.

Google ha tenido previamente una cosecha de más de 30 problemas en la App Engine que Gowdiak y compañía destacaron el año pasado. La empresa tuvo que solicitar la restauracion de su acceso de prueba, después de que fuera suspendido por Google mientras que sus investigadores estaban buscando los errores. Cuenta Security Explorations, que finalmente fueron reinstalados y la compañía fue recompensada con 50 mil dólares por 23 de las 30 vulnerabilidades que interpuso. Google admitió que estas vulnerabilidades se aprovecharon de la auditoría "insuficiente" de las clases privilegiadas en Java.

No se respondió a la solicitud de correo electrónico para hacer comentarios a Google en relación con las últimas vulnerabilidades de GAE. 

La plataforma es utilizada principalmente por los clientes ejecutar sus propias aplicaciones, incluyendo las construidas en Python y Java, en la nube de Google.