Das französische Cybersecurity-Unternehmen QuarksLab hat bei einer vom Open Source Technology Improvement Fund (OSTIF) mitfinanzierten Überprüfung der Verschlüsselungssoftware VeraCrypt insgesamt 26 Schwachstellen gefunden. Acht der Sicherheitslücken werden als “kritisch” eingestuft. Sie erlauben es Unbefugten unter anderem erlauben, Passwörter auszulesen.
Vier der als kritisch eingestuften Lücken stecken im VeraCrypt-Bootloader. Er kommt auf Computern zum Einsatz, die das Unified Extensible Firmware Interface (UEFI) nutzen. Dabei werden zum Beispiel Eingaben nach der Authentifizierung nicht korrekt gelöscht.
Der UEFI-Support ist eine der wichtigsten Neuerungen, die VeraCrypt, das die Nachfolge des 2014 eingestellten TrueCrypt angetreten hat, mitbrachte. VeraCrypt ist auch die erste Open-Source-Lösung überhaupt, die einen UEFI-kompatiblen Bootloader bietet. Mounir Idrassi, Chefentwickler von VeraCrypt, begründet gegenüber Computerworld damit auch die hohe Fehlerquote in dieser Komponente: Da es sich um eine “junge” Funktion handle, sei sie nicht so ausgereift wie die restliche, auf TrueCrypt basiernde Codebasis.
Die meisten der von QuarksLab entdeckten Sicherheitslücken behebt die Anfang der Woche zur Verfügung gestellte Version 1.19 von VeraCrypt. Einige Probleme in dem von TrueCrypt übernommenen Code bleiebn jedoch ungepatcht. Änderungen würden Idrassi zufolge die Abwärtskompatibilität zu TrueCrypt einschränken.
Entfernt haben die Entwickler den russischen Verschlüsselungsstandard GOST 28147-89. Dessen Implementierung wurde bei der Prüfung als unsicher eingestuft. Mit dem Algorithmus erstellte Container lassen sich zwar weiterhin entschlüsseln, allerdings können keine neuen Container mehr angelegt werden. Auch die Bibliotheken XZip und XUnzip wurden aufgrund zahlreicher Fehler aus VeraCrypt entfernt und durch libzip ersetzt.
VeraCrypt ist eine der wenigen kostenlosen Anwendungen, die unter Windows eine vollständige Laufwerksverschlüsselung ermöglicht, die auch das Betriebssystem umfasst. Das von Microsoft angebotene Bitlocker ist aktuell den Windows-Editionen Professional und Enterprise vorbehalten.
Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Ein elementarer Bestandteil einer effektiven Cloud-Strategie ist nach erfolgter Implementierung die künftige Verwaltung des Dienstes.
Die Neuerungen sollen den Digital Thread, die Low-Code-Entwicklung, die Visualisierung komplexer Baugruppen und das Lieferantenmanagement…
Eine Bitkom-Umfrage attestiert der Datenraum-Initiative des Bundes hohe Bekanntheit in der Industrie. Doch noch ist…
Ransomware-as-a-Service ist ein lukratives Geschäft und in den Händen professionell organisierter Gruppen. Jetzt können Kriminelle…
Bad Bots richten nicht nur wirtschaftlichen Schaden an. Laut dem Bad Bot Report von Imperva…
Studie von OVHcloud verdeutlicht Stellenwert von Datenresidenz und Datensouveränität bei KI-Anwendungen.
