- PVSM.RU - https://www.pvsm.ru -

ПО для шифрования VeraCrypt подверглось аудиту

Известное ПО для шифрования с открытым исходным кодом VeraCrypt было обновлено до версии 1.19. Обновленную версию продукта можно скачать здесь [1]. В новом релизе были закрыты существенные уязвимости, выявленные в результате проведенного аудита исходного кода VeraCrypt, который был осуществлен [2] специалистами Quarkslab. Специалистами было обнаружено 8 критических уязвимостей, 3 уязвимости среднего уровня опасности и еще 15 уязвимостей низкого уровня опасности.

ПО для шифрования VeraCrypt подверглось аудиту - 1

Quarkslab made a security assessment of VeraCrypt 1.18. The audit was funded by OSTIF and was performed by two Quarkslab engineers between Aug. 16 and Sep. 14, 2016 for a total of 32 man-days of study. A critical vulnerability, related to cryptography, has been identified. It has been introduced in version 1.18, and will be fixed in version 1.19.

VeraCrypt [3] представляет из себя ПО для шифрования файлов на лету и является ответвлением (форком) от другого известного ПО для шифрования под названием TrueCrypt, поддержка которого была прекращена еще в 2014 г. Поддержка VeraCrypt осуществляется французским программистом Mounir Idrassi.

Исправлению подверглось как само ПО, так и та его часть, которая относится к загрузчику ОС (bootloader). Следующие уязвимости были исправлены в версии 1.19.

— Полностью удалена настройка шифрования по стандарту GOST 28147-89.
— Удалена поддержка библиотек XZip и XUnzip, вместо них VeraCrypt использует более безопасные библиотеки libzip.
— Исправлена уязвимость в загрузчике (bootloader), которая позволяла атакующему вычислять длину пароля.
— Исправлена уязвимость в коде загрузчика, которая позволяла оставлять в памяти BIOS Data Area введенный пользователем пароль, что могло быть использовано атакующими.
— Исправлена аналогичная уязвимость, которая позволяла оставлять конфиденциальные данные загрузчика в памяти, не удаляя их должным образом. Уязвимость может позволить атакующим получить доступ к новому паролю пользователя при его изменении со старого.
— Исправлена уязвимость в загрузчике, которая относится к типу memory-corruption и присутствует в коде библиотеки XUnzip при обработке архивов VeraCrypt Recovery Disk. Уязвимость устранена путем прекращения поддержки XUnzip и переходом на libzip.
— Исправлена уязвимость в загрузчике, которая приводила к разыменованию нулевого указателя,

С полной версией отчета о проделанном аудите можно ознакомиться здесь [4].

image
be secure.

Автор: ESET NOD32

Источник [5]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/200552

Ссылки в тексте:

[1] здесь: https://veracrypt.codeplex.com/releases/view/629329

[2] осуществлен: http://blog.quarkslab.com/security-assessment-of-veracrypt-fixes-and-evolutions-from-truecrypt.html

[3] VeraCrypt: https://ru.wikipedia.org/wiki/VeraCrypt

[4] здесь: http://blog.quarkslab.com/resources/2016-10-17-audit-veracrypt/16-08-215-REP-VeraCrypt-sec-assessment.pdf

[5] Источник: https://habrahabr.ru/post/312990/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best