Kritische Sicherheitslücken in Open-Source-Verschlüsselungssoftware VeraCrypt entdeckt

Bei einer Sicherheitsprüfung hat der französische Cybersecurity-Anbieter QuarksLab 26 Schwachstellen in der Open-Source-Verschlüsselungssoftware VeraCrypt entdeckt. Darunter sind acht als kritisch eingestufte Anfälligkeiten, die es unter anderem erlauben, Passwörter auszulesen. Finanziert wurde die Kontrolle unter anderem vom Open Source Technology Improvement Fund (OSTIF).

Alleine vier kritische Lücken stecken im VeraCrypt-Bootloader, der auf Computern zum Einsatz kommt, die das Unified Extensible Firmware Interface (UEFI) nutzen. Unter anderem werden Eingaben nach der Authentifizierung nicht korrekt gelöscht.

Der UEFI-Support ist eine der wichtigsten Neuerungen, die VeraCrypt als Nachfolger des 2014 überraschend eingestellten TrueCrypt mit sich brachte. VeraCrypt ist zudem die erste Open-Source-Lösung, die einen UEFI-kompatiblen Bootloader bietet. Da es sich um eine „junge“ Funktion handele, sei sie nicht so ausgereift wie die restliche Codebasis, die auf TrueCrypt basiere, erklärte Mounir Idrassi, Chefentwickler von VeraCrypt, gegenüber Computerworld.

Den größten Teil der von QuarksLab gemeldeten Sicherheitslöcher stopft die seit Anfang der Woche erhältliche Version VeraCrypt 1.19. Einige Probleme bleiben jedoch ungepatcht. Sie betreffen den von TrueCrypt übernommenen Code. Die benötigten Fixes würden Idrassi zufolge die Abwärtskompatibilität zu TrueCrypt einschränken.

Darüber hinaus haben die Entwickler den russischen Verschlüsselungsstandard GOST 28147-89 entfernt, dessen Implementierung bei der Prüfung als unsicher eingestuft wurde. Mit dem Algorithmus erstellte Container lassen sich weiterhin entschlüsseln, es können allerdings keine neuen Container damit angelegt werden. Auch die Bibliotheken XZip und XUnzip sind aufgrund zahlreicher Fehler nicht mehr in VeraCrypt enthalten. Sie wurden durch die modernere und laut QuarksLab sicherere Bibliothek libzip ersetzt.

VeraCrypt ist eine von wenigen kostenlosen Anwendungen, die unter Windows eine vollständige Laufwerksverschlüsselung ermöglichen – auch für das Betriebssystem. Microsoft bietet mit Bitlocker zwar eine hauseigene Lösung, sie ist aber den OS-Versionen Professional und Enterprise vorbehalten.

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Tipp: Wie gut kennen Sie sich mit Open-Source aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

7 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

11 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

12 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

12 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

13 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

15 Stunden ago