Luki w programie TrueCrypt umożliwiają ataki na system operacyjny

Joanna Tomaszewska 06-10-2015, 10:03

Analitycy twierdzą, że znaleźli nowe luki w zabezpieczeniach darmowego narzędzia do szyfrowania TrueCrypt, które mogą pozwolić atakującemu na uzyskanie uprawnień poziomu administratora i zainstalować złośliwe oprogramowanie na komputerze.

Dwie luki w sterowniku (CVE-2015-7358 i CVE-2015-7359), który TrueCrypt instaluje w systemach Windows, zostały niedawno odkryte przez Jamesa Forshaw, członka zespołu Google Project Zero. Zespół ten ma na celu wyszukiwanie błędów oraz luk różnego rodzaju w programach oraz informowanie o nich ich twórców. Wykorzystanie tych luk może pozwolić atakującemu na uzyskanie wyższych uprawnień niż posiada konto użytkownika.

Autorzy narzędzia TrueCrypt wstrzymali wsparcie i rozwój tego programu w zeszłym roku z powodu „nierozwiązanych kwestii bezpieczeństwa”. Jednak audyt bezpieczeństwa kodu źródłowego TrueCrypt oraz implementacji kryptografii nie wykazały żadnych backdoorów lub luk bezpieczeństwa.

Forshaw twierdzi, że po audycie bezpieczeństwa poważne błędy nadal mogą zostać niewykryte. Badacz Google nie ujawnił szczegółów dotyczących opisanych dwóch błędów, mówiąc, że zazwyczaj czekają siedem dni na wydanie poprawek, przed publikacją raportu błędów.

Krytyczne błędy zostały poprawione w nowej aplikacji VeraCrypt, który jest programem open-source stworzonym na podstawie kodu TrueCrypt, którego celem jest kontynuowanie i poprawianie oryginalnego projektu.

Można również skorzystać z alternatywnego sposobu szyfrowania danych – wielu producentów rozwiązań antywirusowych w pakiecie z oprogramowaniem antywirusowym oferuje funkcje szyfrowania plików.

Producent oprogramowania Bitdefender zaleca również aktualizację dotychczasowych narzędzi do szyfrowania opartych o kod źródłowy TrueCrypt. Pomoże to w zapobieganiu włamaniom i późniejszym problemom.

Autor:

Joanna Tomaszewska, Bitdefender


Źródło: Informacja prasowa. Wydawca nie odpowiada za treści nieredakcyjne. Firmy zainteresowane publikacjami prosimy o kontakt pod adresem kf@di24.pl
Tematy pokrewne:  

tag Veracrypttag TrueCrypttag luki bezpieczeństwa
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy