Versione delle 03:43, 5 gen 2018 modifica Titore (discussione \| contributi) Check user, Amministratori 39 653 modifiche m →Scoperte di rilievo Etichetta: Modifica visuale ← Differenza precedente		Versione delle 20:38, 1 feb 2018 modifica annulla Botcrux (discussione \| contributi) Bot 3 708 033 modifiche m Bot: codifica, sostituzione o rimozione di caratteri unicode per spazi tipografici particolari Differenza successiva →
Riga 1: {{Sito web\| nome = Project Zero\| tipo =}} '''Project Zero''' è il nome di un team all'interno di [[Google]], formato da analisti di [[sicurezza informatica]], che si occupa dell'individuazione di [[vulnerabilità]] [[0-day\|zero-day]]. È stato annunciato il 15 luglio 2014.<ref>{{Cita news\|lingua=en-US\|url=http://googleonlinesecurity.blogspot.de/2014/07/announcing-project-zero.html\|titolo=Announcing Project Zero\|pubblicazione=Google Online Security Blog\|accesso=2018-01-04}}</ref> == Storia == Riga 6: == Individuazione e segnalazione dei bug == I [[bug]] trovati da Project Zero vengono inizialmente segnalati privatamente ai creatori e resi pubblicamente visibili solo dopo che la patch viene pubblicata o dopo 90 giorni senza risoluzione. Questa scadenza è scelta in ottemperanza della ''[[responsible disclosure]]'', nella quale Google si impegna a concedere il tempo necessario alle società di software per sistemare il problema prima di informare il pubblico, in modo tale che gli utenti prendano i necessari provvedimenti per evitare gli attacchi. == Scoperte di rilievo == Il 30 settembre 2014, Google ha individuato una falla di sicurezza in una [[chiamata di sistema]] di [[Windows 8.1]] chiamata "NtApphelpCacheControl", che permetteva a un normale utente di ottenere privilegi di amministratore.<ref>{{Cita web\|url=https://code.google.com/p/google-security-research/issues/detail?id=118\|titolo=118 - Windows: Elevation of Privilege in ahcache.sys/NtApphelpCacheControl - project-zero - Monorail\|sito=code.google.com\|lingua=en\|accesso=2018-01-04}}</ref> [[Microsoft]] fu immediatamente notificata del problema ma, non avendo sistemato il bug entro 90 giorni, lo stesso fu reso noto pubblicamente il 29 dicembre 2014. Ciò suscitò una risposta da Microsoft, che dichiarò di stare lavorando a una soluzione.<ref>{{Cita news\|lingua=en-US\|url=https://www.engadget.com/2015/01/02/google-posts-unpatched-microsoft-bug/\|titolo=Google posts Windows 8.1 vulnerability before Microsoft can patch it\|pubblicazione=Engadget\|accesso=2018-01-04}}</ref> Il 19 febbraio 2017, Google ha scoperto una falla relativa ai [[reverse proxy]] di [[Cloudflare]]<ref>{{Cita web\|url=https://bugs.chromium.org/p/project-zero/issues/detail?id=1139\|titolo=1139 - ▼ cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory - ▼ ▲Il 19 febbraio 2017, Google ha scoperto una falla relativa ai [[reverse proxy]] di [[Cloudflare]]<ref>{{Cita web\|url=https://bugs.chromium.org/p/project-zero/issues/detail?id=1139\|titolo=1139 - ▲ cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory - project-zero - Monorail\|sito=bugs.chromium.org\|lingua=en\|accesso=2018-01-04}}</ref> che causava un [[buffer overflow]] ad alcuni loro server, rendendo pubbliche aree di memoria contenenti informazioni private quali [[cookie HTTP]], token di autenticazione, HTTP POST body e altri dati sensibili. Alcuni di questi dati sono finiti nella cache dei motori di ricerca.<ref>{{Cita news\|url=https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/\|titolo=Incident report on memory leak caused by Cloudflare parser bug\|pubblicazione=Cloudflare Blog\|data=2017-02-23\|accesso=2018-01-04}}</ref> Un membro di Project Zero ha chiamato questa falla [[Cloudbleed]]. Il 27 marzo 2017, Tavis Ormandy di Project Zero ha scoperto una vulnerabilità nel popolare gestore di password [[Lastpass\|LastPass]].<ref>{{Cita news\|lingua=en-US\|url=https://nakedsecurity.sophos.com/2017/03/29/another-hole-opens-up-in-lastpass-that-could-take-weeks-to-fix/\|titolo=Another hole opens up in LastPass that could take weeks to fix\|pubblicazione=Naked Security\|data=2017-03-29\|accesso=2018-01-04}}</ref> Il 31 marzo 2017, LastPass ha annunciato di aver risolto il problema.<ref>{{Cita news\|lingua=en-US\|url=https://blog.lastpass.com/2017/03/security-update-for-the-lastpass-extension.html/\|titolo=Security Update for the LastPass Extension - The LastPass Blog\|pubblicazione=The LastPass Blog\|data=2017-03-27\|accesso=2018-01-04}}</ref>

Project Zero (Google): differenze tra le versioni