Una zero-day o 0-day è una vulnerabilità della sicurezza informatica di un software, di un’applicazione o di altro sistema operativo non ancora conosciuta dallo sviluppatore o dal produttore. La denominazione deriva dal tempo a disposizione dello sviluppatore per risolvere la vulnerabilità attraverso la costruzione di un’apposita patch o aggiornamento specifico.
Con lo stesso termine si indica anche il software che un hacker utilizza per violare la sicurezza informatica del software o del prodotto prima che lo sviluppatore si renda conto della presenza della vulnerabilità. Questo software infatti è denominato zero-day exploit.
Gli zero-day exploit possono compremettere sistemi e infrastrutture critiche in in ambito civile e militare, tanto da essere annoverati tre le nuove “armi cybernetiche”. Nel 2010 uno zero-day exploit chiamato stuxnet è stato utilizzatob per un attacco informatico a danno di una centrale nucleare in Iran proveniente da USA e Israele grazie ad alcune vulnerabilità zero-day dei sistemi informatici dell’impianto nucleare.