Gårsdagens oppdatering av kryptering programvare VeraCyrpt fast to sikkerhetsproblemer som sikkerhet forsker James Forshaw oppdaget i TrueCrypt kildekode.
TrueCrypt, som har blitt forlatt av sine utviklere, er fortsatt mye brukt. Dette kan tilskrives i stor grad til bekvemmelighet, og at programvaren er security audit ikke slå opp store kritiske sårbarheter i programmet.
Revisjonen fant noen spørsmål som VeraCrypt utviklere fast (for det meste) i tidligere oppdateringer.
VeraCrypt, som er basert på TrueCrypt-koden, men fortsatt under aktiv utvikling, er et av flere alternativer for TrueCrypt brukere som er på jakt etter alternativer for forlatt programmet.
De to sårbarheter fast i VeraCrypt 1.15 er:
- CVE-2015-7358 (kritisk): Lokal Heving av Tilgangsnivå på Windows ved å misbruke stasjonsbokstav håndtering.
- CVE-2015-7359: Lokal Heving av Tilgangsnivå på Windows forårsaket av feil Etterligning Token Håndtering.
Begge ser ut til å være lokale angrep, noe som betyr at angriperne trenger for å få lokal tilgang til PC for å utnytte dem. Mens det er tilfelle, er det sikkert at TrueCrypt vil ikke bli oppdatert for å fikse disse problemene i programvaren, som i sin tur betyr at TrueCrypt er fortsatt sårbare for angrep utnytte dem.
Dette i sin tur betyr at TrueCrypt brukere trenger for å avgjøre om det er på tide å flytte til en annen kryptering programvare eller fortsette å bruke den sårbare TrueCrypt.
VeraCrypt er en kandidat for å bytte, spesielt siden det kan konvertere TrueCrypt containere og ikke-systemet partisjoner til formater den støtter. Programvaren kan montere TrueCrypt volumer videre slik at det er mulig å bytte til det uten å gjøre endringer i systemet, forutsatt at system partisjonen har ikke vært kryptert med TrueCrypt.
Den enkleste måten å håndtere det på er å dekryptere det å bruke TrueCrypt før du kryptere det igjen i VeraCrypt.
Andre har i tillegg VeraCrypt og 1.14 1.15 inkluderer støtte for et volum expander i de Reisende Disk Setup, en regresjon løs i montering av favoritt volumer på user login, og muligheter til å kontrollere opprettet en rescue disk ISO image-fil.
Det synes å være på tide å forlate TrueCrypt for godt, fordi det er sannsynlig at flere sårbarheter vil bli funnet i programvaren i fremtiden.