Movatterモバイル変換

[0]ホーム
URL:

Перейти до вмісту
Вікіпедія
Пошук

Project Zero

Матеріал з Вікіпедії — вільної енциклопедії.
Project Zero
Посиланняgoogleprojectzero.blogspot.com Редагувати інформацію у Вікіданих
Комерційнийні
Типкоманда[d] Редагувати інформацію у Вікіданих
Мовианглійська
ВласникGoogle Редагувати інформацію у Вікіданих
Започатковано15 липня2014[1] Редагувати інформацію у Вікіданих
Станактивний

Project Zero — назва команди аналітиків безпеки, що працюють вGoogle, завданням яких є пошуквразливостей нульового дня. Про створення команди було оголошено 15 липня 2014 року.[2]

Історія

[ред. |ред. код]

Виявивши ряд недоліків у програмному забезпеченні, що використовується багатьма користувачами під час вивчення інших проблем, таких як критична уразливість«Heartbleed», компанія Google вирішила створити групу zero-day, присвячену пошуку таких вразливостей не тільки в програмному забезпеченні Google, але й у будь-якому програмному забезпеченні, що використовується його користувачами. Новий проєкт був оголошений 15 липня 2014 року в блозі безпеки Google[2]. Незважаючи на те, що ідея про створення «Project Zero» прослідковується з 2010 року, команду Google підштовхнуло до створення команди післявикриття масового стеження в 2013 роціЕдвардом Сноуденом. Спочатку команду очолив Кріс Еванс, колишній керівник командиGoogle Chrome по безпеці, який згодом приєднався доTesla Motors[3]. Інші відомі члени включають дослідників з питань безпеки, таких якБен Хокс[en],Ян Бір[en] таТавіс Ормандія[en][4].

Виявлення помилок

[ред. |ред. код]

Про баги, знайдені командою Project Zero, повідомляється виробнику і публікується лише після того, як випущено патч або через 90 днів, якщо компанія не виправила помилку[5]. 90-денний термін є способом інформування, який надає компаніям програмного забезпечення 90 днів для вирішення проблеми, перш ніж проінформувати громадськість про це, для того щоб самі користувачі могли вжити необхідні кроки, щоб уникнути нападів[5].

Учасники

[ред. |ред. код]

Відомі

[ред. |ред. код]
  • Бен Хокс[5]
  • Тавіс Орманді[5]
  • Янн Хорн[6]

Колишні

[ред. |ред. код]
  • Кріс Еванс[5]
  • Метт Тайт[7]
  • Стівен Віттіо[8]

Відомі відкриття

[ред. |ред. код]

30 вересня 2014 року Google виявила помилку безпеки під час системного викликуWindows 8.1 «NtApphelpCacheControl», що дозволяє звичайному користувачеві отримати адміністративний доступ[9].Microsoft був негайно попереджений про проблему, проте компанія не вирішила проблему протягом 90 днів, тому інформація про помилку була оприлюднена 29 грудня 2014 року[5]. Оприлюднення помилки для громадськості викликало відповідь від Microsoft про те, що вони працюють над проблемою[5].

19 лютого 2017 року Google виявив недолік в зворотному проксі Cloudflare[10], що призвело до того, що їхні серверні панелі пройшли повз закінчення буфера та повернули пам'ять, що містила конфіденційну інформацію, таку як HTTP-файли cookie, токени аутентифікації, тіла HTTP POST та інші конфіденційні дані[11]. Деякі з цих даних були кешовані пошуковими системами. Член команди Project Zero назвав цей недолік «Cloudbleed»[10].

27 березня 2017 року член команди Тавіс Орманді виявив вразливість у популярному менеджері паролів LastPass[12]. 31 березня 2017 року LastPass оголосив, що вони вирішили проблему[13].

Проєкт Zero був залучений до виявлення уразливостейMeltdown іSpectre, що зачіпають багато сучасних процесорів, які були виявлені в середині 2017 року та розкриті на початку січня 2018 року[14]. Баги були виявлені Янном Горном, незалежно від інших дослідників, які повідомили про недоліки безпеки. 9 січня 2018 року деталі помилок були розкриті через зростаючу спекуляцію[6].

Примітки

[ред. |ред. код]
  1. Announcing Project Zero
  2. абEvans, Chris (15 липня 2014).Announcing Project Zero.Google Online Security Blog. Архіворигіналу за 19 січня 2015. Процитовано 19 квітня 2018.
  3. Chris Evans on Twitter.Twitter(укр.). Архіворигіналу за 9 березня 2016. Процитовано 11 квітня 2018.
  4. Meet 'Project Zero,' Google's Secret Team of Bug-Hunting Hackers.WIRED(амер.). Архіворигіналу за 5 січня 2015. Процитовано 11 квітня 2018.
  5. абвгдежикGoogle posts Windows 8.1 vulnerability before Microsoft can patch it.Engadget(амер.). Архіворигіналу за 4 січня 2015. Процитовано 11 квітня 2018.
  6. абGoogle reveals CPU security flaw Meltdown and Spectre details.SlashGear(амер.). 3 січня 2018. Архіворигіналу за 13 червня 2018. Процитовано 11 квітня 2018.
  7. mtait.Lawfare(англ.). Архіворигіналу за 8 квітня 2018. Процитовано 11 квітня 2018.
  8. Ben (18 грудня 2017).Project Zero: aPAColypse now: Exploiting Windows 10 in a Local Network with WPAD/PAC and JScript.Project Zero. Архіворигіналу за 10 квітня 2018. Процитовано 11 квітня 2018.
  9. 118 - Windows: Elevation of Privilege in ahcache.sys/NtApphelpCacheControl - project-zero - Monorail.bugs.chromium.org(англ.). Архіворигіналу за 12 квітня 2018. Процитовано 11 квітня 2018.
  10. аб1139 - cloudflare: Cloudflare Reverse Proxies are Dumping Uninitialized Memory - project-zero - Monorail.bugs.chromium.org(англ.). Архіворигіналу за 1 квітня 2018. Процитовано 11 квітня 2018.
  11. Incident report on memory leak caused by Cloudflare parser bug.Cloudflare Blog. 23 лютого 2017. Архіворигіналу за 2 квітня 2018. Процитовано 11 квітня 2018.
  12. Another hole opens up in LastPass that could take weeks to fix.Naked Security(амер.). 29 березня 2017. Архіворигіналу за 10 жовтня 2018. Процитовано 11 квітня 2018.
  13. Security Update for the LastPass Extension - The LastPass Blog.The LastPass Blog(амер.). 27 березня 2017. Архіворигіналу за 7 квітня 2018. Процитовано 11 квітня 2018.
  14. A Critical Intel Flaw Breaks Basic Security for Most Computers.WIRED(амер.). Архіворигіналу за 3 січня 2018. Процитовано 11 квітня 2018.

Посилання

[ред. |ред. код]
Отримано зhttps://uk.wikipedia.org/w/index.php?title=Project_Zero&oldid=44463134
Категорії:
Приховані категорії:
[8]ページ先頭
©2009-2026 Movatter.jp