Project Zero es un grupo de investigadores de seguridad que trabajan de la mano de Google con el fin de buscar diferentes vulnerabilidades en las aplicaciones del día a día con el fin de promover el «software seguro» y obligar a las empresas en cierto modo a mantener sus aplicaciones seguras y actualizadas, aunque ello suponga también comprometer a los usuarios.
Este grupo de investigadores registra cada vulnerabilidad y notifica a la desarrolladora correspondiente de manera que su esta no se soluciona en 90 días los datos de la vulnerabilidad se harán públicos. Project Zero ya ha publicado un gran número de vulnerabilidades antes de que fueran solucionadas por las correspondientes empresas desarrolladoras como Microsoft y Apple. En esta ocasión ha sido Adobe quien ha sido víctima de estos investigadores de seguridad.
Hace ya más de 90 días que el grupo de Google, Project Zero, detectó una vulnerabilidad importante en el lector de documentos de Adobe, Adobe Reader X y XI, y fue reportada correctamente a la compañía. Al no solucionarse, siguiendo con su tradición, finalmente se ha hecho pública y expuesto tanto a los usuarios de estos lectores PDF como a la compañía, que ahora se ve obligada a lanzar un parche lo antes posible si no quiere comprometer la seguridad de todos los usuarios.
Esta vulnerabilidad reside en el módulo CoolType.dll y se basa en un desbordamiento de búfer. Esta vulnerabilidad fue nombrada como CVE-2014-9160 el pasado 30 de octubre de 2014 y poco después fue solucionada por Adobe para el sistema operativo Windows, aunque los usuarios de Mac OS X seguían siendo vulnerables a ella, por lo que el reporte del fallo siguió abierto con la correspondiente cuenta atrás.
Al no solucionarse este fallo para los usuarios de Mac OS X, finalmente la vulnerabilidad de Project Zero se ha hecho pública, comprometiendo a todos los usuarios de este software en el sistema de Apple. Cabe recordar los riesgos de hacer pública una vulnerabilidad antes de ser solucionada ya que en el momento en que esta se hace pública los piratas informáticos comienzan a programar exploits y a distribuirlos por la red con el fin de poder explotar al mayor número de usuarios antes de que se publique la correspondiente actualización.
Las acciones del grupo Project Zero abre un gran número de debates en los que se plantean si este grupo actúa de forma ética y si 90 días son suficientes o el plazo debería ser mayor.
¿Qué opinas de las acciones de Project Zero? ¿Crees que debería evitar hacer públicas las vulnerabilidades o dar mayor margen?
Fuente: Google Code – Hispasec