A Vulnerabilidade de dia zero é uma falha de segurança desconhecida do fornecedor do software ou da empresa em que foi encontrada e ainda não há um patch lançado para ela vulnerabilidadeO termo "dia zero" refere-se ao fato de que os desenvolvedores tiveram zero dias para corrigir a falha de segurança recentemente encontrada em seu software ou hardware. Um "Ataque de Dia Zero" ocorre quando uma vulnerabilidade ainda não corrigida (possivelmente nem mesmo conhecida) pelos desenvolvedores de hardware ou software é explorada por hackers. Essa exploração permite que hackers invadam um sistema por meio da vulnerabilidade de "dia zero" do software ou hardware.
Em julho de 2014, o Google lançou a "Iniciativa Dia Zero", um programa que consistia em analistas de segurança do Google encarregados de encontrar vulnerabilidades de Dia Zero; essa equipe é chamada de "Projeto Zero". Os pesquisadores do Projeto Zero encontram vulnerabilidades em soluções de hardware e software e relatam essas descobertas ao fabricante do produto. Eles trabalham juntos para corrigir a falha de segurança e lançar patches publicamente assim que a falha for preenchida.
O Projeto Zero é semelhante ao Programas de recompensa de bug, que é um acordo oferecido por muitos sites, organizações e desenvolvedores de software onde indivíduos podem receber reconhecimento e pagamento monetário por relatar bugs ou vulnerabilidades nas ofertas de produtos de um fornecedor
Termos relacionados: Programas de recompensa de bug, Divulgação Responsável, Vulnerabilidade
Leituras relacionadas:
Hackers exploram o dia zero no plugin do WordPress para criar contas de administrador fraudulentas
Fontes:
“Conheça o 'Projeto Zero', a equipe secreta de hackers caçadores de bugs do Google”
A maneira como você responde às vulnerabilidades de dia zero como uma PME depende se você desenvolve hardware (HW) ou software (SW) sozinho ou se você consome hardware e software de outras empresas.
Para PMEs que não desenvolvem hardware ou software, basta ter uma Política de Gerenciamento de Alertas de Vulnerabilidade e um processo em vigor para lidar com as vulnerabilidades de segurança anunciadas para o hardware e software que você consome. Esse processo define a rapidez com que você precisa aplicar patches em seus equipamentos, considerando a criticidade ou o tamanho do risco que você enfrenta. Para riscos que representam uma violação total de suas redes, onde código de exploração está disponível e você possui portas e protocolos habilitados para Internet para os serviços que estão sendo atacados, sua política indicará: pare todo o resto e aplique patches agora. Vulnerabilidades de menor risco permitirão que você tenha mais tempo e planeje conforme definido em seu processo de VAMP. A CyberHoot possui um modelo de VAMP totalmente testado para você adotar em sua empresa.
Para PMEs que desenvolvem hardware ou software, você deve criar um programa ou processo de Bug Bounty e divulgação responsável em seus processos de desenvolvimento. Em seu site, liste como relatar bugs críticos em seu software e a maneira apropriada de relatá-los. Se sua empresa for grande o suficiente para oferecer incentivos financeiros para relatar bugs em um programa de Bug Bounty, publique-os com instruções sobre como enviá-los e quais informações você está buscando nos relatórios. Em segundo lugar, descreva o cronograma dentro do qual você responderá com a confirmação de um bug e os prazos que você seguirá para desenvolver uma correção. O objetivo aqui é evitar uma situação em que uma pesquisa de segurança pareça rejeitada ou ignorada por você e, em vez de esperar que você desenvolva um patch, divulgue suas descobertas para a comunidade da Internet, apesar de "divulgação responsável"melhores práticas.
Descubra e compartilhe as últimas tendências, dicas e melhores práticas de segurança cibernética, além de novas ameaças às quais você deve ficar atento.
A maioria das violações de segurança não começa com um hacker de capuz decifrando códigos às 3 da manhã. Elas começam com seu nome de usuário e um...
Ler mais
Atualizações do artigo: A partir de 6 de maio de 2026, todos os principais laboratórios de IA dos EUA, incluindo Google DeepMind, Microsoft, xAI,...
Ler mais
Um guia para identificar golpes de falsificação de identidade de altos executivos antes que o falso CEO receba uma transferência bancária verdadeira.
Ler maisTenha uma visão mais aguçada dos riscos humanos com uma abordagem positiva que supera os testes de phishing tradicionais.
