Gårdagens uppdatering av kryptering programvara VeraCyrpt fast två sårbarheter som säkerhet forskaren James Forshaw upptäckte i TrueCrypt källkod.
TrueCrypt, som har övergivits av sina utvecklare, är fortfarande i stor utsträckning. Detta kan till stor del tillskrivas bekvämlighet och att programvaran säkerhet revisionen inte slå upp stora kritiska sårbarheter i programmet.
Revisionen hittade några frågor som VeraCrypt utvecklare fast (mestadels) i tidigare uppdateringar.
VeraCrypt, som är baserad på TrueCrypt kod men fortfarande är under aktiv utveckling, är ett av flera alternativ för TrueCrypt-användare som letar efter alternativ till den övergivna program.
De två sårbarheter fast i VeraCrypt 1.15 är:
- CVE-2015-7358 (kritiska): Lokal behörighetshöjning på Windows genom att missbruka enhetsbeteckning hantering.
- CVE-2015-7359: Lokal behörighetshöjning på Windows som orsakas av felaktig användning av falsk identitet Token Hantering.
Båda verkar vara lokala attacker vilket innebär att angripare behöver för att få lokal tillgång till PC för att utnyttja dem. Samtidigt så är fallet, är det säkert att TrueCrypt inte att uppdateras för att åtgärda dessa problem i programvaran, vilket i sin tur innebär att TrueCrypt är fortfarande sårbara för attacker som utnyttjar dem.
Detta i sin tur innebär att TrueCrypt användare behöver för att besluta om det är dags att flytta till ett annat krypteringsprogram eller hålla med utsatta TrueCrypt.
VeraCrypt är en kandidat till att gå, särskilt eftersom det kan konvertera TrueCrypt behållare och icke-system-partitioner till det format som den stöder. Programvaran kan montera TrueCrypt-volymer dessutom så att det är möjligt att byta till det utan att göra några ändringar i systemet under förutsättning att systempartitionen har inte varit krypterade med TrueCrypt.
Det enklaste sättet att hantera det är att dekryptera det med hjälp av TrueCrypt innan du krypterar den igen inom VeraCrypt.
Andra har tillägg i VeraCrypt 1.14 1.15 och inkluderar stöd för en volym expander i Resenär Disk Setup, en regression fix i montering av favorit volymer vid inloggning, och alternativ för att kontrollera en skapad rescue disk ISO-image-fil.
Det verkar vara dags att överge TrueCrypt för bra som det är troligt att ytterligare sårbarheter i programvara i framtiden.