Categories: SicherheitSicherheitsmanagement

Kritische Sicherheitslücken in Verschlüsselungssoftware TrueCrypt entdeckt

Der Google-Sicherheitsforscher James Forshaw hat zwei kritische Sicherheitslücken in TrueCrypt gefunden. Sie stecken in einem Treiber, den die Verschlüsselungssoftware unter Windows installiert. Ein Angreifer könnte darüber Systemrechte erlangen, auch wenn der angemeldete Benutzer nur über ein eingeschränktes Konto verfügt.

Die Schwachstellen mit den Kennungen CVE-2015-7538 und CVE-2015-7539 werden allerdings nicht mehr in TrueCrypt beseitigt, da der Entwickler seine Arbeit an der Software eingestellt hat. Fixes enthält indes die am Samstag veröffentlichte Version 1.15 von VeraCrypt, einer Open-Source-Anwendung, die auf dem TrueCrypt-Code basiert. Dessen Herausgeber stuft allerdings nur CVE-2015-7358 als kritisch ein.

Die ursprünglichen Autoren von TrueCrypt hatten ihr Projekt im Mai 2014 überraschend eingestellt. Als Grund gaben sie an, die Software sei „unsicher“ und enthalte möglicherweise ungepatchte Sicherheitslücken. Zuvor hatte ein Projekt von Freiwilligen ein formelles Security-Audit begonnen, dessen erste Phase mit „recht positiven Ergebnissen“ abgeschlossen wurde.

Ein Audit von Ingenieuren von iSEC Partners hat jedoch keine Hinweise auf absichtlich eingefügte Sicherheitslücken oder gar Hintertüren im Code gefunden. Gegenstand der Prüfung war auch der jetzt als fehlerhaft eingestufte Windows-Treiber. Treiber für das Microsoft-Betriebssystem bezeichnete Forshaw in diesem Zusammenhang auf Twitter als „komplexes Biest“. Ein Fehler, der eine unautorisierte Rechteausweitung erlaube, sei schnell übersehen.

Details zu den Schwachstellen hat Forshaw, der zu Googles Project Zero gehört, bisher nicht veröffentlicht. Seine Fehlerberichte mache er frühestens sieben Tage nach der Freigabe eines Patches öffentlich.

TrueCrypt und VeraCrypt nutzen immer noch viele Anwender, da beide Programme zu den wenigen kostenlosen Lösungen für Windows zählen, die eine vollständige Festplattenverschlüsselung erlauben – inklusive der Windows-Partition. Nutzer, die derzeit noch TrueCrypt einsetzen, sollten nun auf VeraCrypt umsteigen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Share
Published by
Stefan Beiersmann
Tags: Secure-ITSecuritySicherheitVerschlüsselung
9 Jahren ago

Recent Posts

Januar-Patchday: Google stopft kritische Löcher in Android

Ohne Rechteausweitung ist eine Remotecodeausführung möglich. Betroffen sind alle unterstützten Android-Versionen inklusive Android 15.

10 Stunden ago

Firefox 134 schließt schwerwiegende Sicherheitslücken

Sie erlauben unter Umständen das Einschleusen und Ausführen von Schadcode aus der Ferne. Neu ist…

10 Stunden ago

Samsung meldet Umsatz- und Gewinnanstieg im vierten Quartal

Das Ergebnis bleibt hinter den Erwartungen von Analysten zurück. Offenbar belasten fallende Preise für Speicherchips…

19 Stunden ago

Gartner: Markt für KI-Chips wächst 2025 voraussichtlich um 37 Prozent

Der Umsatz steigt im laufenden Jahr auf 115 Milliarden Dollar. Der größte Teil davon entfällt…

1 Tag ago

Hackerangriff auf US-Finanzministerium

Die Hintermänner sollen eine Verbindung nach China haben. Als Einfallstor dienen Schwachstellen in einer Remote-Support-Software…

2 Tagen ago

OT-Systeme entwickeln sich zunehmend zum Einfallstor für Cyberangriffe

Sophos-Studie: Mehrheit glaubt, dass OT-Systeme auch in Zukunft beliebte Ziele für Cyberangriffe sein werden, insbesondere…

2 Tagen ago