Другие новости

Недавно обнаруженная уязвимость TrueCrypt позволяет получить полный доступ к системе

30.09.2015 | 00:41 Экономика

Исследователь безопасности обнаружил две серьезные уязвимости в TrueCrypt

Пользователи Windows, использующие TrueCrypt для шифрования жестких дисков, находятся под угрозой: исследователь обнаружил две серьезные уязвимости в программе.

TrueCrypt может и заброшена своими оригинальными разработчиками, но она остается одной из немногих программ для шифрования в Windows. Это поддерживает интерес исследователей, ищущих уязвимости в программе и ее ответвлениях.

Джеймс Форшоу, член команды Google Project Zero, которая регулярно находит уязвимости в широко используемом программном обеспечении, недавно обнаружила две уязвимости в драйвере, который TrueCrypt устанавливает на Windows-системах.

Уязвимости, которые, по-видимому, были пропущены в проведенном ранее независимом аудите исходного кода TrueCrypt, могут позволить злоумышленникам получить повышенные привилегии в системе, если они получат доступ с ограниченной учетной записью.

Оригинальные авторы TrueCrypt, которые остались анонимными, внезапно закрыли проект в мае 2014 года, предупредив, что программное обеспечение «может содержать неисправленные уязвимости» и посоветовали пользователям перейти на BitLocker – программу шифрования от Microsoft, которая доступна в некоторых версиях Windows.

В то время проводился краудсорсинговый профессиональный аудит безопасности исходного кода TrueCrypt и его криптографических реализаций. Первый этап, на котором был проанализирован драйвер TrueCrypt и другие важные части кода, уже был завершен, когда поддержка TrueCrypt была прекращена. Аудиторы не обнаружили никаких серъезных проблем или доказательств существования умышленных бэкдоров в программе.

Невозможно сказать, были ли встроены намеренно уязвимости, обнаруженные Форшоу, но они показывают, что, несмотря на профессиональную проверку кода, серьезные баги могут остаться нераскрытым.

Первый этап проекта аудита TrueCrypt осуществлялся инженерами безопасности iSEC Partners. Он касался кода драйвера, но «Драйверы для Windows — сложные звери», и легко упустить уязвимость несанкционированного локального попышения привелегий, сказал Форшоу в Твиттере.

Исследователь Google не раскрывает подробности о двух багах, говоря, что он, как правило, ждет семь дней после выпуска патча, а затем выпускает отчет об ошибках.

Поскольку TrueCrypt больше не поддерживается, то баги не будут исправлены непосредственно в коде программы. Тем не менее, они были исправлены в VeraCrypt — программе с открытым исходным кодом, основанной на коде TrueCrypt, которая продолжает и улучшает первоначальный проект.

VeraCrypt версии 1.15 была выпущена в субботу. Она содержит патчи для двух уязвимостей — CVE-2015-7358 и CVE-2015-7359, а также для других багов. Разработчики этой программы отметили как критическую только уязвимость CVE-2015-7358 и сказали, что она может быть использована для «злоупотребления при обработке буквы диска».

Еще многие используют TrueCrypt или VeraCrypt, потому что это одни из немногих бесплатных вариантов программ для полного шифрования жестких дисков, в том числе системного раздела Windows. BitLocker от Microsoft не доступен в редакциях Windows Home, которые предварительно установлены на многих потребительских ноутбуках, а большинство других программ шифрования системного раздела требуют платной лицензии.

Люди, которые все еще используют TrueCrypt, должны перейти на VeraCrypt как можно скорее. В дополнение к патчам для этих двух уязвимостей, программа также имеет другие улучшения безопасности по сравнению со своим предшественником.