Entwickler schließen zahlreiche Lücken in Verschlüsselungssoftware VeraCrypt

Das französische Cybersecurity-Unternehmen QuarksLab hat bei einer vom Open Source Technology Improvement Fund (OSTIF) mitfinanzierten Überprüfung der Verschlüsselungssoftware VeraCrypt insgesamt 26 Schwachstellen gefunden. Acht der Sicherheitslücken werden als “kritisch” eingestuft. Sie erlauben es Unbefugten unter anderem erlauben, Passwörter auszulesen.

Vier der als kritisch eingestuften Lücken stecken im VeraCrypt-Bootloader. Er kommt auf Computern zum Einsatz, die das Unified Extensible Firmware Interface (UEFI) nutzen. Dabei werden zum Beispiel Eingaben nach der Authentifizierung nicht korrekt gelöscht.

Der UEFI-Support ist eine der wichtigsten Neuerungen, die VeraCrypt, das die Nachfolge des 2014 eingestellten TrueCrypt angetreten hat, mitbrachte. VeraCrypt ist auch die erste Open-Source-Lösung überhaupt, die einen UEFI-kompatiblen Bootloader bietet. Mounir Idrassi, Chefentwickler von VeraCrypt, begründet gegenüber Computerworld damit auch die hohe Fehlerquote in dieser Komponente: Da es sich um eine “junge” Funktion handle, sei sie nicht so ausgereift wie die restliche, auf TrueCrypt basiernde Codebasis.

Die meisten der von QuarksLab entdeckten Sicherheitslücken behebt die Anfang der Woche zur Verfügung gestellte Version 1.19 von VeraCrypt. Einige Probleme in dem von TrueCrypt übernommenen Code bleiebn jedoch ungepatcht. Änderungen würden Idrassi zufolge die Abwärtskompatibilität zu TrueCrypt einschränken.

Entfernt haben die Entwickler den russischen Verschlüsselungsstandard GOST 28147-89. Dessen Implementierung wurde bei der Prüfung als unsicher eingestuft. Mit dem Algorithmus erstellte Container lassen sich zwar weiterhin entschlüsseln, allerdings können keine neuen Container mehr angelegt werden. Auch die Bibliotheken XZip und XUnzip wurden aufgrund zahlreicher Fehler aus VeraCrypt entfernt und durch libzip ersetzt.

VeraCrypt ist eine der wenigen kostenlosen Anwendungen, die unter Windows eine vollständige Laufwerksverschlüsselung ermöglicht, die auch das Betriebssystem umfasst. Das von Microsoft angebotene Bitlocker ist aktuell den Windows-Editionen Professional und Enterprise vorbehalten.

Tipp der Redaktion

EU-Datenschutzgrundverordnung (DSGVO)

Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

Recent Posts

Mehr Datenschutz in der Montage

Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…

1 Tag ago

Cyber Resilience Act: Countdown läuft

Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…

1 Tag ago

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

2 Tagen ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

3 Tagen ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

3 Tagen ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

3 Tagen ago