AnswersPublished17 sources
Google kielsi palkkion kriittisestä pilvihaulosta – väittää haavoittuvuutta ”tarkoituksenmukaiseksi”
Tietoturvatutkija Justin O'Leary löysi kriittisen IAM oikeuksien ohitusaukon (ConfigConfusion) Google Cloudin Config Connectorista, arvosana CVSS 10.0. Googlen sisäisessä järjestelmässä haavoittuvuus on edelleen merkitty käsiteltäväksi ja kriittiseksi, eikä sitä ole korjattu yli kolmeen kuukauteen.
10K0
AI Prompt
openai.comCreate a landscape editorial hero image for this Studio Global article: Searching with cited sources for What is the full story behind Google denying a bug bounty for a critical, unfixed GCP Config Connector vuln. Article summary: Here is the full story, drawn primarily from The Register's exclusive reporting and supporting sources.. Topic tags: general, government, documentation, general web, academic. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illust
Yksi vuoden hämmentävimmistä tietoturvapolitiikan täyskäännöksistä on nyt julki: Google on kieltäytynyt maksamasta bugipalkkiota kriittisestä, yhä korjaamattomasta haavoittuvuudesta Google Cloudin Config Connector -työkalussa – aluksi yhtiö kehui tutkijaa ja luokitteli aukon vakavimmaksi mahdolliseksi. Tapauksen raportoi ensimmäisenä The Register, ja se on saanut tietoturvayhteisön kyseenalaistamaan Googlen sitoutumisen tutkijoiden luottamukseen ja pilvi-infrastruktuurin haavoittuvuuksien käsittelyyn.
ConfigConfusion-haavoittuvuus
Tietoturvatutkija Justin O'Leary löysi kriittisen haavoittuvuuden Config Connectorista, avoimen lähdekoodin Kubernetes-lisäosasta, jonka avulla organisaatiot voivat hallita koko Google Cloud -ympäristöään Kubernetesin kautta . Hän nimesi haavoittuvuuden ConfigConfusioniksi.
Tekniset yksityiskohdat: Config Connector ei suorita käyttövaltuustarkistusta, kun Kubernetes-nimiavaruuden käyttäjä yrittää hallita GCP-resursseja. Tämä antaa mille tahansa Config Connector -palvelutilille, jolla on organisaatiotason oikeudet, mahdollisuuden ohittaa GCP:n Identity and Access Management (IAM) -kontrollit ja nostaa itsensä korkeimpaan hallintatasoon – roles/owner – koko GCP-organisaatiossa, joka on kaikkien yrityksen Google Cloud -resurssien juurisolmu . O'Leary luokittelee haavoittuvuuden CVSS 10.0:ksi, korkeimmaksi mahdolliseksi vakavuusarvosanaksi, koska hyökkääjä, jolla on perustason Kubernetes-nimiavaruuden käyttöoikeudet, voi saada täyden hallintaoikeuden organisaation koko pilviympäristöön ja kaikkiin siellä oleviin tietoihin
.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
People also ask
What is the short answer to "Google kielsi palkkion kriittisestä pilvihaulosta – väittää haavoittuvuutta ”tarkoituksenmukaiseksi”"?
Tietoturvatutkija Justin O'Leary löysi kriittisen IAM oikeuksien ohitusaukon (ConfigConfusion) Google Cloudin Config Connectorista, arvosana CVSS 10.0.
What are the key points to validate first?
Tietoturvatutkija Justin O'Leary löysi kriittisen IAM oikeuksien ohitusaukon (ConfigConfusion) Google Cloudin Config Connectorista, arvosana CVSS 10.0. Googlen sisäisessä järjestelmässä haavoittuvuus on edelleen merkitty käsiteltäväksi ja kriittiseksi, eikä sitä ole korjattu yli kolmeen kuukauteen.
What should I do next in practice?
Googlen toukokuussa 2026 uudistamat bugipalkkio ohjelmat herättävät kysymyksiä: Chrome palkkioita leikattiin tekoälyn tuottamien ilmoitusten tulvaan vedoten, samalla kun ihmistutkijan huolellisesti raportoima kriittin...
Sources
- theregister.comGoogle told researcher 'Nice catch!' Then denied bug bounty for flaw ...
- pcper.comGreat, Now Google Is Getting Miserly On Bug Bounties - PC Perspective
- letsdatascience.comAI Powers Rapid Exploit Discovery, Outpacing Patch Response
- securityweek.comGoogle Adjusts Bug Bounties: Chrome Payouts Drop as ...
- androidauthority.comGoogle will pay you $1.5M if you can hack Pixel's Titan M2 chip
Loading comments...
Comments
0 comments