Zero Day Initiative (ZDI) pagó dos millones de dólares a usuarios colaboradores por reporte de vulnerabilidades en el 2016

Zero Day Initiative (ZDI) publicó 674 avisos de seguridad durante el
2016, de estos 54 fueron publicados como 0-day. En total, ZDI pagó cerca
de dos millones de dólares el pasado año.

ZDI ha publicado un interesante resumen de sus actividades durante el
pasado año, en el que cabe destacar los 674 avisos publicados, ocho más
que el 2015. El programa ZDI, que durante 2016 pasó de HPE a Trend Micro
con la venta de TippingPoint, agradece y reconoce el trabajo de los
investigadores colaboradores.

Entre los que destaca a un investigador, conocido simplemente como
‘kdot’, tanto por la complejidad de los problemas encontrados, como por
la amplitud de los productos sobre los que informó. Ese investigador es
responsable de 30 de los avisos publicados para Google Chrome, Adobe
Reader, Microsoft PDF Library y Foxit Reader.

También reconoce el trabajo de los Laboratorios CloverSec, con 18 avisos
diferentes en productos de Microsoft, Adobe, Oracle y AVG, entre otros.
Otro investigador habitual de los últimos años, conocido como rgod, ha
publicado 15 avisos en productos como Microsoft, Novell, Dell y CA
durante 2016.

También incide en la dificultad de publicar un aviso, ya que no todos
los reportes de estos investigadores son automáticamente aceptados. De
hecho, cerca de un 43 por ciento de todos los avisos recibidos durante
el pasado año fueron rechazados.

Las vulnerabilidades más destacables

ZDI también hace un repaso a las vulnerabilidades que consideran más
destacables, señalando:

CVE-2016-3382 – Enviada por un investigador anónimo y parcheada por
Microsoft en el boletín MS16-118. Una confusión de tipos para las
últimas versiones de IE y Edge.
CVE-2016-0158 – Vulnerabilidad para Microsoft Edge reportada por
lokihardt y corregida en el MS16-038.
CVE-2016-7272 – Ejecución de código al abrir una nueva ventana en
Windows Explorer para todas las versiones de Windows. Descubierto por
Giwan Go de STEALIEN y corregido en el MS16-146.
CVE-2016-1806 – Empleado por JungHoon Lee (lokihardt) durante la
competición Pwn2Own de este año y solucionado por Apple en el Security
Update 2016-003.
CVE-2016-7857 – Fallo para Adobe Flash reportado por bee13oy de
CloverSec Labs corregido en noviembre.
CVE-2016-5161 – Vulnerabilidad de confusión de tipos en Chrome reportada
por un investigador conocido como 62600BCA031B9EB5CB4A74ADDDD6771E,
corregido por Google en octubre.

Los más afectados

El programa ZDI también agradece a los proveedores y fabricantes que
corrigen las vulnerabilidades que les informan.
Como en el 2015 la compañía para la que más avisos se publicaron fue
Adobe, con 149 de las 674 totales. De hecho, tanto en 2015 como en 2016,
los productos de Adobe representaron el 22% de los avisos publicados.

Es curioso el caso del fabricante que ocupa el segundo puesto, los
sistemas industriales Advantech con 112 avisos publicados, lo que
representa un 17 por ciento. Sin embargo trata este caso como algo
especial, debido a que todos ellos provienen del mismo investigador
anónimo, que tampoco ha reportado vulnerabilidades para ningún otro
fabricante.

Microsoft finalizó como tercer fabricante afectado, destacando los
navegadores como principal objetivo. Con 77 avisos, Microsoft tiene un
11% de los avisos publicados, frente al 17 por ciento del 2015.

Ver información original al respecto en Fuente:
http://unaaldia.hispasec.com/2017/01/zdi-pago-dos-millones-de-dolares-por.html