Verschlüsselungs-Software TrueCrypt leidet unter kritischen Lecks

Die Verschlüsselungstechnologie TrueCrypt  weist zwei schwere Sicherheitslücken auf, wie der Google-Sicherheitsforscher James Forshaw berichtet. Sie stecken in einem Treiber, den die Verschlüsselungssoftware unter Windows installiert. Ein Angreifer könnte darüber Systemrechte erlangen, auch wenn der angemeldete Benutzer nur über ein eingeschränktes Konto verfügt.

Die Schwachstellen CVE-2015-7538 und CVE-2015-7539 sollen allerdings nicht mehr behoben werden, da die Entwicklung an der Verschlüsselung eingestellt wurde. Fixes enthält die am Samstag veröffentlichte Version 1.15 von VeraCrypt, einer Open-Source-Anwendung, die auf dem TrueCrypt-Code basiert. Das Projekt stuft jedoch lediglich CVE-2015-7358 als kritisch ein.

Die Entwickler von TrueCrypt haben das Verschlüsselungs-Tool mit Hinweis auf ungepatchte Sicherheitslücken eingestellt. (Screenshot: ZDNet)

Die Autoren von TrueCrypt hatten ihr Projekt im Mai 2014 überraschend eingestellt. Als Grund gaben sie an, die Software sei “unsicher” und enthalte möglicherweise ungepatchte Sicherheitslücken. Zuvor hatte ein Projekt von Freiwilligen ein formelles Security-Audit begonnen, dessen erste Phase mit “recht positiven Ergebnissen” abgeschlossen wurde.

Ein Audit von Ingenieuren von iSEC Partners hat keine Hinweise auf absichtlich eingefügte Sicherheitslücken oder gar Hintertüren im Code gefunden. Gegenstand der Prüfung war auch der jetzt als fehlerhaft eingestufte Windows-Treiber. Treiber für das Microsoft-Betriebssystem bezeichnete Forshaw in diesem Zusammenhang auf Twitter als “komplexes Biest”. Ein Fehler, der eine unautorisierte Rechteausweitung erlaube, sei schnell übersehen.

Details zu den Schwachstellen hat Forshaw, der zu Googles Project Zero gehört, bisher nicht veröffentlicht. Seine Fehlerberichte veröffentlicht der Sicherheitsforscher frühestens sieben Tage nach dem Release eines Patches.

TrueCrypt und VeraCrypt nutzen immer noch viele Anwender, da beide Programme zu den wenigen kostenlosen Lösungen für Windows zählen, die eine vollständige Festplattenverschlüsselung erlauben – inklusive der Windows-Partition. Nutzer, die derzeit noch TrueCrypt einsetzen, sollten nun auf VeraCrypt umsteigen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Redaktion

Recent Posts

Banken und Versicherer sind KI-Großabnehmer

Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…

7 Stunden ago

Siemens legt 10 Milliarden Dollar für Software-Spezialisten auf den Tisch

Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…

7 Stunden ago

Standortübergreifender KI-Einsatz im OP-Saal

Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.

8 Stunden ago

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

3 Tagen ago

Künstliche Intelligenz erreicht die Cloud

KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.

4 Tagen ago

AI Act: Durchblick im Regulierungsdickicht

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.

4 Tagen ago