O Google corrigiu uma vulnerabilidade crítica no Cloud Run chamada ImageRunner, que poderia permitir a obtenção de acesso não autorizado a dados confidenciais de usuários. Descoberta pela Tenable, a falha afetava a plataforma sem servidor do Google Cloud, usada para implantar e executar aplicativos em contêineres.
Leia também
App Store promoverá apps de desenvolvedores
Como o Google usa I.A. para migrar seu próprio código
A vulnerabilidade poderia ser explorada por agentes mal-intencionados com certas permissões no projeto alvo, permitindo a modificação de serviços do Cloud Run e o acesso a imagens privadas. No pior dos cenários, um invasor poderia extrair segredos dessas imagens e exfiltrar informações sensíveis.
O Google notificou os clientes do Cloud Run sobre o problema em novembro de 2024 e implantou uma atualização de segurança em 28 de janeiro de 2025. Segundo um porta-voz da empresa, a correção adicionou uma verificação do IAM (Identity and Access Management) para garantir que apenas usuários com permissão de leitura possam acessar imagens de contêineres durante a implantação. Antes disso, a verificação do IAM era feita apenas quando a imagem era de outro projeto do Google Cloud, deixando brechas para possíveis ataques.
A Tenable publicou detalhes técnicos e um passo a passo para demonstrar como a falha poderia ser explorada. A correção do Google elimina esse risco, garantindo maior segurança para os usuários do Cloud Run.
