คำตอบเผยแพร่แล้ว26 แหล่งที่มา
Google กลับลำ ปฏิเสธจ่ายรางวัลบั๊กช่องโหว่ร้ายแรงใน Config Connector หลังบอกนักวิจัยว่า 'Nice Catch'
นักวิจัยด้านความปลอดภัย Justin O'Leary ค้นพบช่องโหว่เพิ่มสิทธิ์ (privilege escalation) ใน Google Config Connector ซึ่งเป็นเครื่องมือ Kubernetes ที่ใช้จัดการทรัพยากร GCP ช่องโหว่นี้เปิดทางให้ผู้ใช้ namespace ใดก็ได้สาม... ช่องโหว่ที่ชื่อ ConfigConfusion นี้ใช้ประโยชน์จาก Config Connector เพื่อหลบเลี่ยงระบบควบคุม IAM...
37K0
AI พรอมต์
openai.comCreate a landscape editorial hero image for this Studio Global article: Searching with cited sources for What is the full story behind Google denying a bug bounty for a critical, unfixed GCP Config Connector vuln. Article summary: Here is the full story, based primarily on The Register's exclusive report [8] and corroborated by other outlets [2][9].. Topic tags: general, general web, user generated, academic, documentation. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make i
ช่องโหว่ด้านความปลอดภัยที่ร้ายแรงใน Google Config Connector ซึ่งเป็น Kubernetes operator ที่ใช้จัดการทรัพยากร Google Cloud Platform (GCP) กำลังกลายเป็นประเด็นถกเถียงที่ร้อนแรงเกี่ยวกับแนวทางปฏิบัติด้าน Bug Bounty ของ Google นักวิจัยด้านความปลอดภัย Justin O'Leary ค้นพบช่องโหว่ที่ให้คะแนนความรุนแรงสูงสุดที่ CVSS 10.0 และรายงานต่อทีม Bug Bounty ของ Google ทีมงานตอบรับรายงานเบื้องต้น โดยระบุว่าเป็นลำดับความสำคัญสูง และชื่นชม O'Leary ด้วยคำว่า 'Nice catch!' จากนั้น Google ก็กลับลำ ประกาศว่าพฤติกรรมดังกล่าว 'เป็นไปตามที่ตั้งใจ' ('working as intended') ปฏิเสธการจ่ายรางวัลใดๆ และปล่อยให้ช่องโหว่ยังไม่ได้รับการแก้ไขนานเกือบสามเดือน
กรณีนี้ได้ตั้งคำถามถึงความมุ่งมั่นของ Google ต่อการวิจัยด้านความปลอดภัย โดยเฉพาะอย่างยิ่งในช่วงที่บริษัทกำลังปรับโครงสร้างโปรแกรม Bug Bounty โดยอ้างถึงการเพิ่มขึ้นของรายงานที่สร้างโดย AI
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
คนยังถาม
คำตอบสั้น ๆ สำหรับ "Google กลับลำ ปฏิเสธจ่ายรางวัลบั๊กช่องโหว่ร้ายแรงใน Config Connector หลังบอกนักวิจัยว่า 'Nice Catch'" คืออะไร
นักวิจัยด้านความปลอดภัย Justin O'Leary ค้นพบช่องโหว่เพิ่มสิทธิ์ (privilege escalation) ใน Google Config Connector ซึ่งเป็นเครื่องมือ Kubernetes ที่ใช้จัดการทรัพยากร GCP ช่องโหว่นี้เปิดทางให้ผู้ใช้ namespace ใดก็ได้สาม...
ประเด็นสำคัญที่ต้องตรวจสอบก่อนคืออะไร?
นักวิจัยด้านความปลอดภัย Justin O'Leary ค้นพบช่องโหว่เพิ่มสิทธิ์ (privilege escalation) ใน Google Config Connector ซึ่งเป็นเครื่องมือ Kubernetes ที่ใช้จัดการทรัพยากร GCP ช่องโหว่นี้เปิดทางให้ผู้ใช้ namespace ใดก็ได้สาม... ช่องโหว่ที่ชื่อ ConfigConfusion นี้ใช้ประโยชน์จาก Config Connector เพื่อหลบเลี่ยงระบบควบคุม IAM ของ GCP ได้อย่างสิ้นเชิง แม้ช่องโหว่จะยังไม่ได้รับการแก้ไขและยังไม่มีกำหนดการแก้ไขจาก Google
ฉันควรทำอย่างไรต่อไปในทางปฏิบัติ?
Google เปลี่ยนคำตัดสินหลังจากรับรายงานเบื้องต้นว่าเป็นบั๊กระดับความรุนแรงสูงสุด โดยเปลี่ยนเป็น 'ตั้งใจให้ทำงานแบบนี้' และปฏิเสธการจ่ายรางวัล ทำให้เกิดคำถามถึงความมุ่งมั่นของ Google ต่อการวิจัยด้านความปลอดภัย โดยเฉพาะอ...
แหล่งที่มา
- securityweek.comGoogle Adjusts Bug Bounties: Chrome Payouts Drop as ...
- theregister.comGoogle told researcher 'Nice catch!' Then denied bug bounty for flaw ...
- it.slashdot.orgGoogle Told Researcher 'Nice Catch!' Then Denied Bug ...
- linkedin.comMuhammad Fauzan Wijaya's Post - LinkedIn
- linkedin.comAndrey Lukashenkov - Google Adjusts Bug Bounties - LinkedIn
Loading comments...
Comments
0 comments