Project Zero (Google): differenze tra le versioni

Naviga nella cronologia in modo interattivo

← Differenza precedente

Contenuto cancellato Contenuto aggiunto

VisualeWikitesto

Versione delle 07:06, 2 giu 2023 modifica InternetArchiveBot (discussione \| contributi) Bot 1 850 459 modifiche Recupero di 1 fonte/i e segnalazione di 0 link interrotto/i.) #IABot (v2.0.9.4 ← Differenza precedente		Versione attuale delle 09:34, 14 mar 2025 modifica annulla InternetArchiveBot (discussione \| contributi) Bot 1 850 459 modifiche Recupero di 2 fonte/i e segnalazione di 0 link interrotto/i.) #IABot (v2.0.9.5
(Una versione intermedia di un altro utente non mostrate)
Riga 3: == Storia == Dopo aver trovato diverse [[vulnerabilità informatica\|vulnerabilità]] in [[software]] usato da molti utenti finali mentre studiava altre vulnerabilità come "[[Heartbleed]]", Google ha deciso di fondare un team apposito dedicato a individuare tali vulnerabilità, non solo in software Google, ma in qualsiasi software utilizzato dai suoi utenti. Il nuovo progetto è stato annunciato il 15 luglio 2014 sul [[blog]] di Google dedicato alla sicurezza. Sebbene l'idea di Project Zero potrebbe risalire al 2010, la sua istituzione si inserisce nella più ampia tendenza di Google di contrastare iniziative di sorveglianza a seguito delle [[divulgazioni sulla sorveglianza di massa del 2013]] di [[Edward Snowden]]. Il team era precedentemente guidato da Chris Evans, responsabile del team di sicurezza di [[Google Chrome]], poi passato a [[Tesla (azienda)\|Tesla]].<ref>{{Cita web\|url=https://twitter.com/scarybeasts/status/628980384471105536\|titolo=I'm very excited to soon be joining @TeslaMotors to lead security.\|autore=Chris Evans\|sito=@scarybeasts\|data=10:26 AM - 5 Aug 2015\|lingua=en\|accesso=2018-01-04}}</ref> Altri membri degni di nota sono Ben Hawkes, Ian Beer e Tavis Ormandy.<ref name=":0">{{Cita news\|lingua=en-US\|url=https://www.wired.com/2014/07/google-project-zero/\|titolo=Meet 'Project Zero,' Google's Secret Team of Bug-Hunting Hackers\|pubblicazione=WIRED\|accesso=2018-01-04}}</ref> == Individuazione e segnalazione dei bug == Riga 10: == Scoperte di rilievo == Il 30 settembre 2014, Google ha individuato una falla di sicurezza in una [[chiamata di sistema]] di [[Windows 8.1]] chiamata "NtApphelpCacheControl", che permetteva a un normale utente di ottenere privilegi di amministratore.<ref>{{Cita web\|url=https://code.google.com/p/google-security-research/issues/detail?id=118\|titolo=118 - Windows: Elevation of Privilege in ahcache.sys/NtApphelpCacheControl - project-zero - Monorail\|sito=code.google.com\|lingua=en\|accesso=2018-01-04\|dataarchivio=14 marzo 2016\|urlarchivio=https://web.archive.org/web/20160314144327/https://code.google.com/p/google-security-research/issues/detail?id=118\|urlmorto=sì}}</ref> [[Microsoft]] fu immediatamente notificata del problema ma, non avendo sistemato il bug entro 90 giorni, lo stesso fu reso noto pubblicamente il 29 dicembre 2014. Ciò suscitò una risposta da Microsoft, che dichiarò di stare lavorando a una soluzione.<ref>{{Cita news\|lingua=en-US\|url=https://www.engadget.com/2015/01/02/google-posts-unpatched-microsoft-bug/\|titolo=Google posts Windows 8.1 vulnerability before Microsoft can patch it\|pubblicazione=Engadget\|accesso=2018-01-04}}</ref> Il 19 febbraio 2017, Google ha scoperto una falla relativa ai [[reverse proxy]] di [[Cloudflare]]<ref>{{Cita web\|url=https://bugs.chromium.org/p/project-zero/issues/detail?id=1139\|titolo=1139 - Riga 17: project-zero - Monorail\|sito=bugs.chromium.org\|lingua=en\|accesso=2018-01-04}}</ref> che causava un [[buffer overflow]] ad alcuni loro server, rendendo pubbliche aree di memoria contenenti informazioni private quali [[cookie HTTP]], token di autenticazione, HTTP POST body e altri [[dati sensibili]]. Alcuni di questi dati sono finiti nella cache dei motori di ricerca.<ref>{{Cita news\|url=https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/\|titolo=Incident report on memory leak caused by Cloudflare parser bug\|pubblicazione=Cloudflare Blog\|data=2017-02-23\|accesso=2018-01-04}}</ref> Un membro di Project Zero ha chiamato questa falla [[Cloudbleed]]. Il 27 marzo 2017, Tavis Ormandy di Project Zero ha scoperto una [[vulnerabilità informatica\|vulnerabilità]] nel popolare gestore di password [[Lastpass\|LastPass]].<ref>{{Cita news\|lingua=en-US\|url=https://nakedsecurity.sophos.com/2017/03/29/another-hole-opens-up-in-lastpass-that-could-take-weeks-to-fix/\|titolo=Another hole opens up in LastPass that could take weeks to fix\|pubblicazione=Naked Security\|data=2017-03-29\|accesso=2018-01-04}}</ref> Il 31 marzo 2017, LastPass ha annunciato di aver risolto il problema.<ref>{{Cita news\|lingua=en-US\|url=https://blog.lastpass.com/2017/03/security-update-for-the-lastpass-extension.html/\|titolo=Security Update for the LastPass Extension - The LastPass Blog\|pubblicazione=The LastPass Blog\|data=2017-03-27\|accesso=2018-01-04\|dataarchivio=7 aprile 2018\|urlarchivio=https://web.archive.org/web/20180407005605/https://blog.lastpass.com/2017/03/security-update-for-the-lastpass-extension.html/\|urlmorto=sì}}</ref> Riga 42: == Collegamenti esterni == * {{Collegamenti esterni}} * [https://code.google.com/p/google-security-research/issues/list?can=1 Database delle vulnerabilità scoperte] {{Webarchive\|url=https://web.archive.org/web/20150128114716/https://code.google.com/p/google-security-research/issues/list?can=1 \|date=28 gennaio 2015 }} * [https://www.google.com/about/appsecurity/research/ Lista delle vulnerabilità scoperte da Google prima di "Project Zero"]