Project Zero (Google): differenze tra le versioni

'''Project Zero''' è il nome di un team all'interno di [[Google]], formato da analisti di [[sicurezza informatica]], che si occupa dell'individuazione di [[vulnerabilità informatica|vulnerabilità]] [[0-day|zero-day]]. È stato annunciato il 15 luglio 2014.<ref>{{Cita news|lingua=en-US|url=https://googleonlinesecurity.blogspot.de/2014/07/announcing-project-zero.html|titolo=Announcing Project Zero|pubblicazione=Google Online Security Blog|accesso=2018-01-04}}</ref>

Dopo aver trovato diverse [[vulnerabilità informatica|vulnerabilità]] in [[software]] usato da molti utenti finali mentre studiava altre vulnerabilità come "[[Heartbleed]]", Google ha deciso di fondare un team apposito dedicato a individuare tali vulnerabilità, non solo in software Google, ma in qualsiasi software utilizzato dai suoi utenti. Il nuovo progetto è stato annunciato il 15 luglio 2014 sul [[blog]] di Google dedicato alla sicurezza. Sebbene l'idea di Project Zero potrebbe risalire al 2010, la sua istituzione si inserisce nella più ampia tendenza di Google di contrastare iniziative di sorveglianza a seguito delle [[divulgazioni sulla sorveglianza di massa del 2013]] di [[Edward Snowden]]. Il team era precedentemente guidato da Chris Evans, responsabile del team di sicurezza di [[Google Chrome]], poi passato a [[Tesla (azienda)|Tesla]].<ref>{{Cita web|url=https://twitter.com/scarybeasts/status/628980384471105536|titolo=I'm very excited to soon be joining @TeslaMotors to lead security.|autore=Chris Evans|sito=@scarybeasts|data=10:26 AM - 5 Aug 2015|lingua=en|accesso=2018-01-04}}</ref> Altri membri degni di nota sono Ben Hawkes, Ian Beer e Tavis Ormandy.<ref name=":0">{{Cita news|lingua=en-US|url=https://www.wired.com/2014/07/google-project-zero/|titolo=Meet 'Project Zero,' Google's Secret Team of Bug-Hunting Hackers|pubblicazione=WIRED|accesso=2018-01-04}}</ref>

Windows: Elevation of Privilege in ahcache.sys/NtApphelpCacheControl - project-zero - Monorail|sito=code.google.com|lingua=en|accesso=2018-01-04|dataarchivio=14 marzo 2016|urlarchivio=https://web.archive.org/web/20160314144327/https://code.google.com/p/google-security-research/issues/detail?id=118|urlmorto=sì}}</ref> [[Microsoft]] fu immediatamente notificata del problema ma, non avendo sistemato il bug entro 90 giorni, lo stesso fu reso noto pubblicamente il 29 dicembre 2014. Ciò suscitò una risposta da Microsoft, che dichiarò di stare lavorando a una soluzione.<ref>{{Cita news|lingua=en-US|url=https://www.engadget.com/2015/01/02/google-posts-unpatched-microsoft-bug/|titolo=Google posts Windows 8.1 vulnerability before Microsoft can patch it|pubblicazione=Engadget|accesso=2018-01-04}}</ref>

Monorail|sito=bugs.chromium.org|lingua=en|accesso=2018-01-04}}</ref> che causava un [[buffer overflow]] ad alcuni loro server, rendendo pubbliche aree di memoria contenenti informazioni private quali [[cookie HTTP]], token di autenticazione, HTTP POST body e altri [[dati sensibili]]. Alcuni di questi dati sono finiti nella cache dei motori di ricerca.<ref>{{Cita news|url=https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/|titolo=Incident report on memory leak caused by Cloudflare parser bug|pubblicazione=Cloudflare Blog|data=2017-02-23|accesso=2018-01-04}}</ref> Un membro di Project Zero ha chiamato questa falla [[Cloudbleed]].

Il 27 marzo 2017, Tavis Ormandy di Project Zero ha scoperto una [[vulnerabilità informatica|vulnerabilità]] nel popolare gestore di password [[Lastpass|LastPass]].<ref>{{Cita news|lingua=en-US|url=https://nakedsecurity.sophos.com/2017/03/29/another-hole-opens-up-in-lastpass-that-could-take-weeks-to-fix/|titolo=Another hole opens up in LastPass that could take weeks to fix|pubblicazione=Naked Security|data=2017-03-29|accesso=2018-01-04}}</ref> Il 31 marzo 2017, LastPass ha annunciato di aver risolto il problema.<ref>{{Cita news|lingua=en-US|url=https://blog.lastpass.com/2017/03/security-update-for-the-lastpass-extension.html/|titolo=Security Update for the LastPass Extension - The LastPass Blog|pubblicazione=The LastPass Blog|data=2017-03-27|accesso=2018-01-04|dataarchivio=7 aprile 2018|urlarchivio=https://web.archive.org/web/20180407005605/https://blog.lastpass.com/2017/03/security-update-for-the-lastpass-extension.html/|urlmorto=sì}}</ref>

Il 18 giugno 2019, Samuel Groß di Project Zero ha scoperto una [[vulnerabilità]] in [[Mozilla Firefox]], definita '''critica''' dagli sviluppatori di Firefox stesso, con la seguente descrizione: "A type confusion vulnerability can occur when manipulating [[JavaScript]] objects due to issues in <code>Array.pop</code>. This can allow for an exploitable [[Crash (informatica)|crash]]. We are aware of targeted attacks in the wild abusing this flaw." ovvero "Una vulnerabilità di tipo confusion che può verificarsi quando si manipolano oggetti [[JavaScript]] a causa di problemi in <code>Array.pop</code>. Questo può consentire un [[Crash (informatica)|crash]] sfruttabile. Siamo consapevoli di attacchi mirati di questa natura che abusano di questo difetto." In particolare questa [[vulnerabilità]] può essere usata per il furto di [[Criptovaluta|criptovalute]]. Il team Mozilla ha rilasciato subito un [[Bug fix|bugfix]] nelle versioni di Firefox 67.0.3 e di Firefox ESR 60.7.1.

* [https://code.google.com/p/google-security-research/issues/list?can=1 Database delle vulnerabilità scoperte] {{Webarchive|url=https://web.archive.org/web/20150128114716/https://code.google.com/p/google-security-research/issues/list?can=1 |date=28 gennaio 2015 }}