谷歌的Project Zero项目一向以“90天期限”著名，曾经成功地在微软未发布补丁之前公开Windows系统的漏洞细节和演示代码。但这一次，轮到别人出手了。安全研究机构近日披露Google App Engine的漏洞细节，同样也公布了具体的攻击演示手法。安全机构在三个星期以前向谷歌提交了这7个漏洞，但未收到谷歌的任何回复。

根据该安全人员的研究，Google App Engine的漏洞允许完整Java VM沙箱逃脱。如果实现了转义，则可以取得系统的完整控制权限，包括任意代执行。但谷歌并未就安全人员发现的问题做出任何回复，并不承认或否认漏洞的存在。由于在三个星期后未得到谷歌的任何回复，安全人员选择了公开漏洞。

外媒就此联系了谷歌，谷歌回复称，一位研究员最近报告了一个已知的安全问题，影响Google App Engine的安全层。我们正在尝试减轻危害，目前用户不需要采取任何行动。

值得注意的是，去年的12月，安全机构向谷歌提交了Google App Engine的漏洞，然而，在过去了6个月之久后，还有5个漏洞没有被修复。

编译自：ZDNet