sábado, 14 de enero de 2017

ZDI pagó dos millones de dólares por vulnerabilidades en el 2016

Zero Day Initiative (ZDI) publicó 674 avisos de seguridad durante el 2016, de estos 54 fueron publicados como 0-day. En total, ZDI pagó cerca de dos millones de dólares el pasado año.

ZDI ha publicado un interesante resumen de sus actividades durante el pasado año, en el que cabe destacar los 674 avisos publicados, ocho más que el 2015. El programa ZDI, que durante 2016 pasó de HPE a Trend Micro con la venta de TippingPoint, agradece y reconoce el trabajo de los investigadores colaboradores.

Entre los que destaca a un investigador, conocido simplemente como 'kdot', tanto por la complejidad de los problemas encontrados, como por la amplitud de los productos sobre los que informó. Ese investigador es responsable de 30 de los avisos publicados para Google Chrome, Adobe Reader, Microsoft PDF Library y Foxit Reader.

También reconoce el trabajo de los Laboratorios CloverSec, con 18 avisos diferentes en productos de Microsoft, Adobe, Oracle y AVG, entre otros. Otro investigador habitual de los últimos años, conocido como rgod, ha publicado 15 avisos en productos como Microsoft, Novell, Dell y CA durante 2016.

También incide en la dificultad de publicar un aviso, ya que no todos los reportes de estos investigadores son automáticamente aceptados. De hecho, cerca de un 43 por ciento de todos los avisos recibidos durante el pasado año fueron rechazados.

Las vulnerabilidades más destacables

ZDI también hace un repaso a las vulnerabilidades que consideran más destacables, señalando:

CVE-2016-3382 – Enviada por un investigador anónimo y parcheada por Microsoft en el boletín MS16-118. Una confusión de tipos para las últimas versiones de IE y Edge.
CVE-2016-0158 – Vulnerabilidad para Microsoft Edge reportada por lokihardt y corregida en el MS16-038.
CVE-2016-7272 – Ejecución de código al abrir una nueva ventana en Windows Explorer para todas las versiones de Windows. Descubierto por Giwan Go de STEALIEN y corregido en el MS16-146.
CVE-2016-1806 – Empleado por JungHoon Lee (lokihardt) durante la competición Pwn2Own de este año y solucionado por Apple en el Security Update 2016-003.
CVE-2016-7857 – Fallo para Adobe Flash reportado por bee13oy de CloverSec Labs corregido en noviembre.
CVE-2016-5161 – Vulnerabilidad de confusión de tipos en Chrome reportada por un investigador conocido como 62600BCA031B9EB5CB4A74ADDDD6771E, corregido por Google en octubre.

Los más afectados


El programa ZDI también agradece a los proveedores y fabricantes que corrigen las vulnerabilidades que les informan.

Como en el 2015 la compañía para la que más avisos se publicaron fue Adobe, con 149 de las 674 totales. De hecho, tanto en 2015 como en 2016, los productos de Adobe representaron el 22% de los avisos publicados.

Es curioso el caso del fabricante que ocupa el segundo puesto, los sistemas industriales Advantech con 112 avisos publicados, lo que representa un 17 por ciento. Sin embargo trata este caso como algo especial, debido a que todos ellos provienen del mismo investigador anónimo, que tampoco ha reportado vulnerabilidades para ningún otro fabricante.

Microsoft finalizó como tercer fabricante afectado, destacando los navegadores como principal objetivo. Con 77 avisos, Microsoft tiene un 11% de los avisos publicados, frente al 17 por ciento del 2015.

Más información:

The ZDI 2016 Retrospective



Antonio Ropero

Twitter: @aropero

No hay comentarios:

Publicar un comentario