для шифрування VeraCrypt піддалося аудиту

Відоме для шифрування з відкритим вихідним кодом VeraCrypt було оновлено до версії 1.19. Оновлену версію продукту можна скачати тут. У новому релізі були закриті істотні проблеми, виявлені в результаті проведеного аудиту вихідного коду VeraCrypt, який був осуществлен фахівцями Quarkslab. Фахівцями було виявлено 8 критичних вразливостей, 3 уразливості середнього рівня небезпеки і ще 15 вразливостей низького рівня небезпеки.


Quarkslab made a security assessment of VeraCrypt 1.18. The audit was funded by OSTIF and was performed by two Quarkslab engineers between Aug. 16 and Sep. 14, 2016 for a total of 32 man-days of study. A critical vulnerability, related to cryptography, has been identified. It has been introduced in version 1.18, and will be fixed in version 1.19.
VeraCrypt представляє з себе ПО для шифрування файлів на льоту і є відгалуженням (форком) від іншого відомого для шифрування під назвою TrueCrypt, підтримка якого була припинена ще в 2014 р. Підтримка VeraCrypt здійснюється французьким програмістом Mounir Idrassi.

Виправлення піддалося як сама, так і та його частина, яка відноситься до завантажувачу ОС (завантажувач). Наступні уразливості були виправлені версії 1.19.

— Повністю видалена налаштування шифрування за стандартом GOST 28147-89.
— Видалена підтримка бібліотек XZip і XUnzip, замість них VeraCrypt використовує більш безпечні бібліотеки libzip.
— Виправлена уразливість в завантажувачі (завантажувач), яка дозволяла атакуючому обчислювати довжину пароля.
— Виправлена уразливість в коді завантажувача, яка дозволяла залишати в пам'яті BIOS Data Area введений користувачем пароль, що могло бути використане атакуючими.
— Виправлена аналогічна уразливість, яка дозволяла залишати конфіденційні дані завантажувача в пам'яті, не видаляючи їх належним чином. Уразливість може дозволити зловмисникам отримати доступ до нового паролю користувача при його зміні зі старого.
— Виправлена уразливість в завантажувачі, яка відноситься до типу memory-corruption і присутній у коді бібліотеки XUnzip при обробці архівів VeraCrypt Recovery Disk. Уразливість усунено шляхом припинення підтримки XUnzip та переходом на libzip.
— Виправлена уразливість в завантажувачі, яка призводила до разыменованию нульового покажчика,

З повною версією звіту про виконану аудиті можна ознайомитися здесь.

image
be secure.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.