Zwei als kritisch einzustufende Sicherheitslücken wurden in der Verschlüsselungssoftware TrueCrypt entdeckt. Die riskanten Lücken, die in einem unter Windows installierten Treiber stecken, wurden von Google-Sicherheitsexperte James Forshaw entdeckt. Angreifer können somit auch dann Systemrechte erlangen, wenn der Angemeldete nur ein eingeschränktes Nutzerkonto verwendet.
Die Sicherheitslücken tragen die Kennungen CVE-2015-7538 und CVE-2015-7539 werden allerdings nicht mehr in TrueCrypt selbst beseitigt, da der Entwickler nicht länger an der Software arbeitet. Fixes enthält indes die am Samstag veröffentlichte Version 1.15 von VeraCrypt, einer Open-Source-Anwendung, die auf dem TrueCrypt-Code basiert. Dessen Herausgeber stuft allerdings nur CVE-2015-7358 als kritisch ein.
Die ursprünglichen Autoren von TrueCrypt hatten ihr Projekt im Mai 2014 überraschend eingestellt. Als Grund gaben sie an, die Software sei „unsicher“ und enthalte möglicherweise ungepatchte Sicherheitslücken. Zuvor hatte ein Projekt von Freiwilligen ein formelles Security-Audit begonnen, dessen erste Phase mit „recht positiven Ergebnissen“ abgeschlossen wurde.
Ein Audit von Ingenieuren von iSEC Partners hat jedoch keine Hinweise auf absichtlich eingefügte Sicherheitslücken oder gar Hintertüren im Code gefunden. Gegenstand der Prüfung war auch der jetzt als fehlerhaft eingestufte Windows-Treiber. Treiber für das Microsoft-Betriebssystem bezeichnete Forshaw in diesem Zusammenhang auf Twitter als „komplexes Biest“. Ein Fehler, der eine unautorisierte Rechteausweitung erlaube, sei schnell übersehen.
Details zu den Schwachstellen hat Forshaw, der zu Googles Project Zero gehört, bisher nicht veröffentlicht. Seine Fehlerberichte mache er frühestens sieben Tage nach der Freigabe eines Patches öffentlich.
TrueCrypt und VeraCrypt nutzen immer noch viele Anwender, da beide Programme zu den wenigen kostenlosen Lösungen für Windows zählen, die eine vollständige Festplattenverschlüsselung erlauben – inklusive der Windows-Partition. Nutzer, die derzeit noch TrueCrypt einsetzen, sollten nun auf VeraCrypt umsteigen.
[Mit Material von Stefan Beiersmann, ZDNet.de]
Neueste Kommentare
Eine Kommentar zu TrueCrypt: Kritische Sicherheitslücken gefunden
Vielen dank für Ihren Kommentar.
Ihre Kommentar wurde gespeichert und wartet auf Moderation.
Warum steht hier nicht einfach, warum TrueCrypt eingestellt wurde? Durch die Blume wurde doch zugegeben, dass von US-Behördenseite auf das Einbauen von Hintertüren gepocht wurde – daraufhin veröffentlichte man noch eine Version, die allerdings nur ENTschlüsseln kann und beendete das Projekt.