Gårsdagens opdatering af kryptering software VeraCyrpt fastsat to sårbarheder, at sikkerheds-forsker James Forshaw opdaget i TrueCrypt ‘ s kildekode.
TrueCrypt, som er blevet forladt af sine udviklere, der er stadig meget udbredt. Dette kan i vid udstrækning henføres til bekvemmelighed, og at software sikkerhed revision ikke op, store kritiske sårbarheder i programmet.
Revisionen fandt nogle spørgsmål, som VeraCrypt udviklere fast (for det meste) i de tidligere opdateringer.
VeraCrypt, som er baseret på TrueCrypt-kode, men stadig under aktiv udvikling, og er et af flere alternativer til TrueCrypt brugere, der er på udkig efter alternativer til den forladte program.
De to sårbarheder fast i VeraCrypt 1.15 er:
- CVE-2015-7358 (kritisk): Lokal Udvidelse af rettigheder på Windows ved at misbruge drevbogstav håndtering.
- CVE-2015-7359: Lokal Udvidelse af rettigheder på Windows forårsaget af forkert Personefterligning Token Håndtering.
Begge synes at være lokale angreb, hvilket betyder, at angribere har brug for at få lokal adgang til PC ‘ en for at udnytte dem. Mens det er tilfældet, er det sikkert og vist, at TrueCrypt vil ikke blive opdateret til at løse disse problemer i den software, som igen betyder, at TrueCrypt fortsat er sårbar over for angreb, der udnytter dem.
Dette betyder igen, at TrueCrypt-brugere er nødt til at beslutte om det er tid til at flytte til en anden kryptering software eller holde ved hjælp af de sårbare TrueCrypt.
VeraCrypt er en kandidat til at skifte, især da det kan konvertere TrueCrypt beholdere og ikke-system partitioner, til det format, som det understøtter. Softwaren kan montere TrueCrypt mængder desuden, således at det er muligt at skifte til det uden at foretage nogen ændringer til systemet, forudsat at den partition er ikke blevet krypteret ved hjælp af TrueCrypt.
Den nemmeste måde at håndtere det er at dekryptere det ved hjælp af TrueCrypt, inden du kryptere det igen fra VeraCrypt.
Andre har tilføjelser i VeraCrypt 1.14 1.15 og omfatter støtte til et volumen expander i den Rejsende Disk Setup, en regression fix i montering af foretrukne mængder på bruger-login, og muligheder for at kontrollere skabt en rescue disk ISO-image-fil.
Det synes at være tid til at opgive TrueCrypt for godt, da det er sandsynligt, at yderligere sårbarheder vil blive fundet i den software i fremtiden.