Gisteren de update van de encryptie software VeraCyrpt twee kwetsbaarheden vastgesteld dat security-onderzoeker James Forshaw ontdekt in TrueCrypt de broncode.
TrueCrypt, die is verlaten door de ontwikkelaars, is het nog steeds veel gebruikt. Dit kan grotendeels worden toegeschreven aan het gemak en de software security audit niet opdagen belangrijke kritieke kwetsbaarheden in het programma.
De audit vond enkele problemen die de VeraCrypt ontwikkelaars vaste (meestal) in de vorige updates.
VeraCrypt, die is gebaseerd op de TrueCrypt-code, maar nog steeds onder actieve ontwikkeling, is een van de vele alternatieven voor TrueCrypt gebruikers die op zoek zijn naar alternatieven voor het programma verlaten.
De twee beveiligingslekken verholpen in VeraCrypt 1.15 zijn:
- CVE-2015-7358 (kritische): Lokale uitbreiding van bevoegdheden op Windows door misbruik te maken van stationsletter behandeling.
- CVE-2015-7359: Lokale uitbreiding van bevoegdheden op Windows veroorzaakt door onjuiste Imitatie Token Behandeling.
Beide lijken te worden lokale aanvallen betekent dat aanvallers te krijgen lokale toegang tot de PC om ze te exploiteren. Terwijl dat het geval is, is het zeker dat TrueCrypt niet worden bijgewerkt om deze problemen te corrigeren in de software, die op zijn beurt betekent dat TrueCrypt blijft kwetsbaar voor aanvallen te exploiteren.
Dit houdt in dat TrueCrypt de gebruikers moeten beslissen of het tijd is om te verhuizen naar een andere codering van de software of gebruik blijven maken van de kwetsbare TrueCrypt.
VeraCrypt is een kandidaat voor het maken van de overstap, vooral omdat het kan converteren TrueCrypt containers en niet-systeem partities naar het formaat die het ondersteunt. De software kan de berg TrueCrypt volumes verder, zodat het mogelijk is om er heen te gaan zonder wijzigingen aan te brengen in het systeem, op voorwaarde dat de systeem partitie niet is versleuteld met TrueCrypt.
De makkelijkste manier om te gaan met het decoderen van het gebruik van TrueCrypt voordat u het opnieuw coderen van binnen VeraCrypt.
Andere functie toevoegingen in VeraCrypt 1.14 1.15 en ondersteuning voor een volume expander in de Reiziger Disk Setup, een regressie-fix is in de montage van favoriete volumes bij aanmelding van de gebruiker, en opties om te controleren of een gemaakt rescue schijf ISO image-bestand.
Het lijkt tijd te verlaten TrueCrypt voor goed zoals het is waarschijnlijk dat extra kwetsbaarheden worden gevonden in de software in de toekomst.