• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / ZDI pagó dos millones de dólares por vulnerabilidades en el 2016

ZDI pagó dos millones de dólares por vulnerabilidades en el 2016

14 enero, 2017 Por Hispasec Deja un comentario

Zero Day Initiative (ZDI) publicó 674 avisos de seguridad durante el 2016, de estos 54 fueron publicados como 0-day. En total, ZDI pagó cerca de dos millones de dólares el pasado año.
ZDI ha publicado un interesante resumende sus actividades durante el pasado año, en el que cabe destacar los 674 avisos publicados, ocho más que el 2015. El programa ZDI, que durante 2016 pasó de HPE a Trend Micro con la venta de TippingPoint, agradece y reconoce el trabajo de los investigadores colaboradores.
Entre los que destaca a un investigador, conocido simplemente como ‘kdot’, tanto por la complejidad de los problemas encontrados, como por la amplitud de los productos sobre los que informó. Ese investigador es responsable de 30 de los avisos publicados para Google Chrome, Adobe Reader, Microsoft PDF Library y Foxit Reader.
También reconoce el trabajo de los Laboratorios CloverSec, con 18 avisos diferentes en productos de Microsoft, Adobe, Oracle y AVG, entre otros. Otro investigador habitual de los últimos años, conocido como rgod, ha publicado 15 avisos en productos como Microsoft, Novell, Dell y CA durante 2016.
También incide en la dificultad de publicar un aviso, ya que no todos los reportes de estos investigadores son automáticamente aceptados. De hecho, cerca de un 43 por ciento de todos los avisos recibidos durante el pasado año fueron rechazados.
Las vulnerabilidades más destacables
ZDI también hace un repaso a las vulnerabilidades que consideran más destacables, señalando:
CVE-2016-3382 – Enviada por un investigador anónimo y parcheada por Microsoft en el boletín MS16-118. Una confusión de tipos para las últimas versiones de IE y Edge.
CVE-2016-0158 – Vulnerabilidad para Microsoft Edge reportada por lokihardt y corregida en el MS16-038.
CVE-2016-7272 – Ejecución de código al abrir una nueva ventana en Windows Explorer para todas las versiones de Windows. Descubierto por Giwan Go de STEALIEN y corregido en el MS16-146.
CVE-2016-1806 – Empleado por JungHoon Lee (lokihardt) durante la competición Pwn2Own de este año y solucionado por Apple en el Security Update 2016-003.
CVE-2016-7857 – Fallo para Adobe Flash reportado por bee13oy de CloverSec Labs corregido en noviembre.
CVE-2016-5161 – Vulnerabilidad de confusión de tipos en Chrome reportada por un investigador conocido como 62600BCA031B9EB5CB4A74ADDDD6771E, corregido por Google en octubre.
Los más afectados

El programa ZDI también agradece a los proveedores y fabricantes que corrigen las vulnerabilidades que les informan.
Como en el 2015 la compañía para la que más avisos se publicaron fue Adobe, con 149 de las 674 totales. De hecho, tanto en 2015 como en 2016, los productos de Adobe representaron el 22% de los avisos publicados.
Es curioso el caso del fabricante que ocupa el segundo puesto, los sistemas industriales Advantech con 112 avisos publicados, lo que representa un 17 por ciento. Sin embargo trata este caso como algo especial, debido a que todos ellos provienen del mismo investigador anónimo, que tampoco ha reportado vulnerabilidades para ningún otro fabricante.
Microsoft finalizó como tercer fabricante afectado, destacando los navegadores como principal objetivo. Con 77 avisos, Microsoft tiene un 11% de los avisos publicados, frente al 17 por ciento del 2015.
Más información:
The ZDI 2016 Retrospective
http://blog.trendmicro.com/zdi-2016-retrospective/
Antonio Ropero
antonior@hispasec.com

Twitter: @aropero

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Vulnerabilidades

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Técnica permite modificar ficheros PDF con firma digital
  • Tamagotchi para hackers: Flipper Zero
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR