Entwickler schließen zahlreiche Lücken in Verschlüsselungssoftware VeraCrypt

Das französische Cybersecurity-Unternehmen QuarksLab hat bei einer vom Open Source Technology Improvement Fund (OSTIF) mitfinanzierten Überprüfung der Verschlüsselungssoftware VeraCrypt insgesamt 26 Schwachstellen gefunden. Acht der Sicherheitslücken werden als “kritisch” eingestuft. Sie erlauben es Unbefugten unter anderem erlauben, Passwörter auszulesen.

Vier der als kritisch eingestuften Lücken stecken im VeraCrypt-Bootloader. Er kommt auf Computern zum Einsatz, die das Unified Extensible Firmware Interface (UEFI) nutzen. Dabei werden zum Beispiel Eingaben nach der Authentifizierung nicht korrekt gelöscht.

Der UEFI-Support ist eine der wichtigsten Neuerungen, die VeraCrypt, das die Nachfolge des 2014 eingestellten TrueCrypt angetreten hat, mitbrachte. VeraCrypt ist auch die erste Open-Source-Lösung überhaupt, die einen UEFI-kompatiblen Bootloader bietet. Mounir Idrassi, Chefentwickler von VeraCrypt, begründet gegenüber Computerworld damit auch die hohe Fehlerquote in dieser Komponente: Da es sich um eine “junge” Funktion handle, sei sie nicht so ausgereift wie die restliche, auf TrueCrypt basiernde Codebasis.

Die meisten der von QuarksLab entdeckten Sicherheitslücken behebt die Anfang der Woche zur Verfügung gestellte Version 1.19 von VeraCrypt. Einige Probleme in dem von TrueCrypt übernommenen Code bleiebn jedoch ungepatcht. Änderungen würden Idrassi zufolge die Abwärtskompatibilität zu TrueCrypt einschränken.

Entfernt haben die Entwickler den russischen Verschlüsselungsstandard GOST 28147-89. Dessen Implementierung wurde bei der Prüfung als unsicher eingestuft. Mit dem Algorithmus erstellte Container lassen sich zwar weiterhin entschlüsseln, allerdings können keine neuen Container mehr angelegt werden. Auch die Bibliotheken XZip und XUnzip wurden aufgrund zahlreicher Fehler aus VeraCrypt entfernt und durch libzip ersetzt.

VeraCrypt ist eine der wenigen kostenlosen Anwendungen, die unter Windows eine vollständige Laufwerksverschlüsselung ermöglicht, die auch das Betriebssystem umfasst. Das von Microsoft angebotene Bitlocker ist aktuell den Windows-Editionen Professional und Enterprise vorbehalten.

Tipp der Redaktion

EU-Datenschutzgrundverordnung (DSGVO)

Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

Recent Posts

Metaversum: Arbeitsplatz der Zukunft mit dem Mensch im Mittelpunkt

Vom 17. bis 19. Juli findet das größte Event für Tech-Recruiting und Employer Branding auf…

13 Stunden ago

NIS-2-Richtlinie verändert Verantwortung für Domain-Sicherheit

Richtlinie enthält erweiterte und präzisierte Anforderungen und bringt spezifische Verpflichtungen und erhöhte Verantwortlichkeiten für Unternehmen.

14 Stunden ago

Lock-In-Effekte auf dem Cloud-Markt nicht zu unterschätzen

Lizensierungspraktiken auf dem Cloud-Markt begünstigen die Bündelung von Software- und Cloud-Angeboten und führen zu Lock-In-Effekten…

14 Stunden ago

Automobilzulieferer Bosch baut Software-Portfolio stark aus

Eine Vielzahl neuer Software-Lösungen soll domänenübergreifende Funktionen liefern und das Design der Fahrzeugarchitekturen vereinfachen.

18 Stunden ago

EU Cyber Resilience Act: Auswirkungen für die Sicherheit von Produkten und Services

Vor welche Herausforderungen die EU-Verordnung die Unternehmen stellt, erklären Security-Experten von Fortinet im Podcast.

1 Tag ago

Malware-Ranking Juni 2024: RansomHub entthront LockBit3

Global Threat Index von Check Point: RansomHub war die am weitesten verbreitete Ransomware-Gruppe, gefolgt von…

4 Tagen ago