Project Zero (Google): differenze tra le versioni

Naviga nella cronologia in modo interattivo

Contenuto cancellato Contenuto aggiunto

VisualeWikitesto

Versione delle 03:42, 4 gen 2018 modifica Titore (discussione \| contributi) Check user, Amministratori 39 653 modifiche Creata dalla traduzione della pagina "Project Zero (Google)" Etichetta: TraduzioneContenuti		Versione attuale delle 09:34, 14 mar 2025 modifica annulla InternetArchiveBot (discussione \| contributi) Bot 1 850 637 modifiche Recupero di 2 fonte/i e segnalazione di 0 link interrotto/i.) #IABot (v2.0.9.5
(25 versioni intermedie di 12 utenti non mostrate)
Riga 1: {{Sito web\| nome = Project Zero\| tipo =}} }}'''Project Zero''' è il nome di un team all'interno di ~~analisti~~[[Google]], ~~della~~formato ~~sicurezza~~da analisti di [[~~Google~~sicurezza ~~(azienda)\|Google~~informatica]] ~~con~~ loche ~~scopo~~si occupa dell'individuazione di ~~individuare~~[[vulnerabilità informatica\|vulnerabilità]] [[0-day\|~~falle~~ zero-day]]. È stato annunciato il 15 luglio 2014.<ref ~~name="announcement"~~>{{Cita ~~web~~news\|lingua=en-US\|url=~~http~~https://googleonlinesecurity.blogspot.de/2014/07/announcing-project-zero.html\|titolo=Announcing Project Zero\|pubblicazione=Google Online Security Blog\|accesso=2018-01-04}}</ref>▼ ~~\| url = {{URL\|http://googleprojectzero.blogspot.com}}~~ ▲}}'''Project Zero''' è il nome di un team di analisti della sicurezza di [[Google (azienda)\|Google]] con lo scopo di individuare [[0-day\|falle zero-day]]. È stato annunciato il 15 luglio 2014.<ref name="announcement">{{Cita web\|url=http://googleonlinesecurity.blogspot.de/2014/07/announcing-project-zero.html}}</ref> == Storia == Dopo aver trovato diverse [[vulnerabilità informatica\|vulnerabilità]] in [[software]] usato da ~~diversi~~molti utenti finali mentre studiava altre vulnerabilità, come "[[Heartbleed]]", Google ha deciso di fondare un team apposito dedicato a individuare tali vulnerabilità, non solo in software Google ~~software~~, ma in qualsiasi software utilizzato dai suoi utenti. Il nuovo progetto è stato annunciato il 15 luglio 2014 sul [[blog]] di Google dedicato alla sicurezza. ~~While the~~Sebbene l'idea ~~for~~di Project Zero ~~can~~potrebbe berisalire ~~traced back to~~al 2010, ~~its~~la ~~establishment~~sua ~~fits~~istituzione ~~into~~si ~~the~~inserisce ~~larger~~nella ~~trend~~più ofampia tendenza di Google's ~~counter-surveillance~~di ~~initiatives~~contrastare ininiziative ~~the~~di ~~wake~~sorveglianza ofa ~~the~~seguito delle [[~~Divulgazioni~~divulgazioni sulla sorveglianza di massa del 2013~~\|2013 global surveillance disclosures~~]] bydi [[Edward Snowden]]. ~~The~~Il team ~~was~~era ~~formerly~~precedentemente ~~headed~~guidato byda Chris Evans, ~~previously~~responsabile ~~head~~del ofteam ~~Google's~~di ~~Chrome~~sicurezza ~~security~~di ~~team~~[[Google Chrome]], ~~who~~poi ~~subsequently~~passato ~~joined~~a [[Tesla (azienda)\|Tesla ~~Motors~~]].<ref>{{Cita web\|url=https://twitter.com/scarybeasts/status/628980384471105536\|titolo=I'm very excited to soon be joining @TeslaMotors to lead security.\|autore=Chris Evans\|sito=@scarybeasts\|data=10:26 AM - 5 Aug 2015\|lingua=en\|accesso=2018-01-04}}</ref> ~~Other~~Altri ~~notable~~membri ~~members~~degni ~~include~~di ~~security~~nota ~~researchers, such as~~sono Ben Hawkes, Ian Beer ~~and~~e Tavis Ormandy.<ref name=":0">{{Cita news\|lingua=en-US\|url=https://www.wired.com/2014/07/google-project-zero/\|titolo=Meet 'Project Zero,' Google's Secret Team of Bug-Hunting Hackers\|pubblicazione=WIRED\|accesso=2018-01-04}}</ref> == Individuazione e segnalazione dei bug == I [[bug]] trovati ~~dal team~~da Project Zero ~~sono~~vengono inizialmente segnalati privatamente ai creatori e resi pubblicamente visibili solo dopo che ~~una~~la patch èviene ~~stata rilasciata~~pubblicata o ~~se sono passati~~dopo 90 giorni senza ~~l'uscita~~risoluzione. ~~di una patch.~~ Questa scadenza ~~di 90 giorni~~ è ~~la modalità~~scelta in ~~cui~~ottemperanza ~~Google~~della ~~attua la~~ ''[[responsible disclosure]]'', ~~concedendo~~nella quale Google si impegna a concedere il tempo necessario alle società di software ~~90 giorni~~ per sistemare il problema prima di informare il pubblico, in modo ~~date~~tale che gli utenti prendano i necessari provvedimenti per evitare gli attacchi. == ~~Membri~~Scoperte di rilievo == Il 30 settembre 2014, Google ha individuato una falla di sicurezza in una [[chiamata di sistema]] di [[Windows 8.1]] chiamata "NtApphelpCacheControl", che permetteva a un normale utente di ottenere privilegi di amministratore.<ref>{{Cita web\|url=https://code.google.com/p/google-security-research/issues/detail?id=118\|titolo=118 - * Ben Hawkes Windows: Elevation of Privilege in ahcache.sys/NtApphelpCacheControl - project-zero - Monorail\|sito=code.google.com\|lingua=en\|accesso=2018-01-04\|dataarchivio=14 marzo 2016\|urlarchivio=https://web.archive.org/web/20160314144327/https://code.google.com/p/google-security-research/issues/detail?id=118\|urlmorto=sì}}</ref> [[Microsoft]] fu immediatamente notificata del problema ma, non avendo sistemato il bug entro 90 giorni, lo stesso fu reso noto pubblicamente il 29 dicembre 2014. Ciò suscitò una risposta da Microsoft, che dichiarò di stare lavorando a una soluzione.<ref>{{Cita news\|lingua=en-US\|url=https://www.engadget.com/2015/01/02/google-posts-unpatched-microsoft-bug/\|titolo=Google posts Windows 8.1 vulnerability before Microsoft can patch it\|pubblicazione=Engadget\|accesso=2018-01-04}}</ref> * Tavis Ormandy▼ * Ian Beer Il 19 febbraio 2017, Google ha scoperto una falla relativa ai [[reverse proxy]] di [[Cloudflare]]<ref>{{Cita web\|url=https://bugs.chromium.org/p/project-zero/issues/detail?id=1139\|titolo=1139 - == Members passati ==▼ cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory - * [[George Hotz]]<ref name="wired">{{Cita web\|url=https://www.wired.com/2014/07/google-project-zero/}}</ref> * Chris Evans▼ * Matt Tait<ref name="lawfareblog">{{Cita web\|url=https://www.lawfareblog.com/contributors/mtait}}</ref>▼ * Steven Vittitoe<ref name="googleprojectzeroblog">{{Cita web\|url=https://googleprojectzero.blogspot.com/2017/12/apacolypse-now-exploiting-windows-10-in_18.html}}</ref>▼ project-zero - == Scoperte di rilievo ==▼ Il 30 settembre 2014, Google ha individuato una falla di sicurezza nella chiamata di sistema di [[Windows 8.1]] chiamata "NtApphelpCacheControl", che permette a un normale utente di ottenere privilegi di amministratore.<ref>{{Cita web\|url=https://code.google.com/p/google-security-research/issues/detail?id=118}}</ref> [[Microsoft]] era stata immediatamente notificata del problema, ma, ma non aveva sistemato il bug entro 90 giorni, causandone la pubblicazione il 29 dicembre 2014. La resa nota del bug al pubblico ha suscitato una risposta da Microsoft, che ha dichiarato di stare lavorando alla soluzione del problema.<ref name="engadget">{{Cita web\|url=https://www.engadget.com/2015/01/02/google-posts-unpatched-microsoft-bug/}}</ref> ~~Il 19 febbraio 2017, Google ha scoperto una falla relativa ai reverse proxy di [[Cloudflare]],<ref name=":0">{{Cita web~~ Monorail\|~~url~~sito=~~https://~~bugs.chromium.org~~/p/project~~\|lingua=en\|accesso=2018-~~zero/issues/detail?id=1139~~01-04}}</ref> che ~~ha causato~~causava un [[buffer overflow]] ad alcuni loro server, ~~permettendo~~rendendo ~~la divulgazione di~~pubbliche aree di memoria contenenti informazioni private quali [[cookie HTTP]], token di autenticazione, HTTP POST ~~bodies,~~body e altri [[dati sensibili]]. Alcuni di questi dati sono finiti nella cache dei motori di ricerca.<ref>{{Cita ~~web~~news\|url=https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/\|titolo=Incident report on memory leak caused by Cloudflare parser bug\|pubblicazione=Cloudflare Blog\|data=2017-02-23\|accesso=2018-01-04}}</ref> Un membro di Project Zero ha chiamato questa falla [[Cloudbleed]]. Il 27 marzo 2017, Tavis Ormandy di Project Zero ha scoperto una [[vulnerabilità informatica\|vulnerabilità]] nel popolare gestore di password [[Lastpass\|LastPass]].<ref>{{Cita ~~web~~news\|lingua=en-US\|url=https://nakedsecurity.sophos.com/2017/03/29/another-hole-opens-up-in-lastpass-that-could-take-weeks-to-fix/\|titolo=Another hole opens up in LastPass that could take weeks to fix\|pubblicazione=Naked Security\|data=2017-03-29\|accesso=2018-01-04}}</ref> Il 31 marzo 2017, LastPass ha annunciato di aver risolto il problema.<ref>{{Cita ~~web~~news\|lingua=en-US\|url=https://blog.lastpass.com/2017/03/security-update-for-the-lastpass-extension.html/\|titolo=Security Update for the LastPass Extension - The LastPass Blog\|pubblicazione=The LastPass Blog\|data=2017-03-27\|accesso=2018-01-04\|dataarchivio=7 aprile 2018\|urlarchivio=https://web.archive.org/web/20180407005605/https://blog.lastpass.com/2017/03/security-update-for-the-lastpass-extension.html/\|urlmorto=sì}}</ref> Il 3 gennaio 2018 è stata pubblicata la scoperta di [[Spectre (vulnerabilità di sicurezza)\|Spectre]] e [[Meltdown (vulnerabilità di sicurezza)\|Meltdown]], vulnerabilità che colpiscono [[Microprocessori Intel\|processori Intel]], [[Architettura ARM\|ARM]] e [[Microprocessori AMD\|AMD]].<ref>{{Cita web\|url=https://googleprojectzero.blogspot.it/2018/01/reading-privileged-memory-with-side.html\|titolo=Reading privileged memory with a side-channel\|sito=googleprojectzero.blogspot.it\|accesso=2018-01-04}}</ref> ~~== Voci correlate ==~~ * Proactive cyber defence Il 18 giugno 2019, Samuel Groß di Project Zero ha scoperto una vulnerabilità in [[Mozilla Firefox]], definita '''critica''' dagli sviluppatori di Firefox stesso, con la seguente descrizione: "A type confusion vulnerability can occur when manipulating [[JavaScript]] objects due to issues in <code>Array.pop</code>. This can allow for an exploitable [[Crash (informatica)\|crash]]. We are aware of targeted attacks in the wild abusing this flaw." ovvero "Una vulnerabilità di tipo confusion che può verificarsi quando si manipolano oggetti [[JavaScript]] a causa di problemi in <code>Array.pop</code>. Questo può consentire un [[Crash (informatica)\|crash]] sfruttabile. Siamo consapevoli di attacchi mirati di questa natura che abusano di questo difetto." In particolare questa vulnerabilità può essere usata per il furto di [[Criptovaluta\|criptovalute]]. Il team Mozilla ha rilasciato subito un [[Bug fix\|bugfix]] nelle versioni di Firefox 67.0.3 e di Firefox ESR 60.7.1. * Row hammer ▲== ~~Scoperte~~Membri di rilievo == * [[Ben Hawkes]]<ref name=":0" /> ▲* [[Tavis Ormandy]]<ref name=":0" /> * [[Ian Beer]]<ref name=":0" /> Jann Horn ▲=== ~~Members~~Membri passati === [[George Hotz]]<ref name=":0" /> ▲* Chris Evans<ref name=":0" /> ▲* Matt Tait<ref ~~name="lawfareblog"~~>{{Cita web\|url=https://www.lawfareblog.com/contributors/mtait\|titolo=mtait\|sito=Lawfare\|lingua=en\|accesso=2018-01-04}}</ref> ▲* Steven Vittitoe<ref ~~name="googleprojectzeroblog"~~>{{Cita web\|url=https://googleprojectzero.blogspot.com/2017/12/apacolypse-now-exploiting-windows-10-in_18.html\|titolo=Project Zero: aPAColypse now: Exploiting Windows 10 in a Local Network with WPAD/PAC and JScript\|autore=Ben\|sito=Project Zero\|data=2017-12-18\|accesso=2018-01-04}}</ref> == Note == Riga 35 ⟶ 41: == Collegamenti esterni == * {{Collegamenti esterni}} * [https://googleprojectzero.blogspot.com/ Blog ufficiale] * [https://code.google.com/p/google-security-research/issues/list?can=1 Database ofdelle ~~detected~~vulnerabilità ~~vulnerabilities~~scoperte] {{Webarchive\|url=https://web.archive.org/web/20150128114716/https://code.google.com/p/google-security-research/issues/list?can=1 \|date=28 gennaio 2015 }} * [https://www.google.com/about/appsecurity/research/ ~~List~~Lista ofdelle ~~vulnerabilities~~vulnerabilità ~~found~~scoperte byda Google ~~before~~prima ~~starting~~di "Project Zero"] ~~<nowiki>~~ {{Portale\|Google\|Sicurezza informatica}} [[Categoria:Sicurezza informatica]] [[Categoria:Google]]~~</nowiki>~~