Das französische Cybersecurity-Unternehmen QuarksLab hat bei einer vom Open Source Technology Improvement Fund (OSTIF) mitfinanzierten Überprüfung der Verschlüsselungssoftware VeraCrypt insgesamt 26 Schwachstellen gefunden. Acht der Sicherheitslücken werden als “kritisch” eingestuft. Sie erlauben es Unbefugten unter anderem erlauben, Passwörter auszulesen.
Vier der als kritisch eingestuften Lücken stecken im VeraCrypt-Bootloader. Er kommt auf Computern zum Einsatz, die das Unified Extensible Firmware Interface (UEFI) nutzen. Dabei werden zum Beispiel Eingaben nach der Authentifizierung nicht korrekt gelöscht.
Der UEFI-Support ist eine der wichtigsten Neuerungen, die VeraCrypt, das die Nachfolge des 2014 eingestellten TrueCrypt angetreten hat, mitbrachte. VeraCrypt ist auch die erste Open-Source-Lösung überhaupt, die einen UEFI-kompatiblen Bootloader bietet. Mounir Idrassi, Chefentwickler von VeraCrypt, begründet gegenüber Computerworld damit auch die hohe Fehlerquote in dieser Komponente: Da es sich um eine “junge” Funktion handle, sei sie nicht so ausgereift wie die restliche, auf TrueCrypt basiernde Codebasis.
Die meisten der von QuarksLab entdeckten Sicherheitslücken behebt die Anfang der Woche zur Verfügung gestellte Version 1.19 von VeraCrypt. Einige Probleme in dem von TrueCrypt übernommenen Code bleiebn jedoch ungepatcht. Änderungen würden Idrassi zufolge die Abwärtskompatibilität zu TrueCrypt einschränken.
Entfernt haben die Entwickler den russischen Verschlüsselungsstandard GOST 28147-89. Dessen Implementierung wurde bei der Prüfung als unsicher eingestuft. Mit dem Algorithmus erstellte Container lassen sich zwar weiterhin entschlüsseln, allerdings können keine neuen Container mehr angelegt werden. Auch die Bibliotheken XZip und XUnzip wurden aufgrund zahlreicher Fehler aus VeraCrypt entfernt und durch libzip ersetzt.
VeraCrypt ist eine der wenigen kostenlosen Anwendungen, die unter Windows eine vollständige Laufwerksverschlüsselung ermöglicht, die auch das Betriebssystem umfasst. Das von Microsoft angebotene Bitlocker ist aktuell den Windows-Editionen Professional und Enterprise vorbehalten.
Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Politik, Wirtschaft und Privatpersonen müssen gemeinsam handeln, um Schutzmechanismen zu entwickeln – ohne das innovative…
Geringere Nachfrage nach Cybersicherheitsfachleuten und Fokussierung auf technische als auch organisatorische Fähigkeiten liegen angesichts der…
Die Abhängigkeit von Drittanbietern erhöht das Risiko erheblich, denn jede Station in der Lieferkette kann…
Laut einer Studie von Bitkom und Hartmannbund haben 15 Prozent der hiesigen Praxen mindestens eine…
Fraunhofer-Forschende wollen die Wertschöpfungskette von Rohstoffen transparenter machen. Ziel ist eine bessere Kreislaufwirtschaft.
Lünendonk-Studie: 54 Prozent der befragten Verwaltungen wollen den Cloud-Anteil ihrer Anwendungen bis 2028 auf 40…
