Эскалация привилегий в TrueCrypt

В популярном продукте TrueCrypt, предназначенном для шифрования дисков, обнаружены 2 опасные уязвимости, получившие номера CVE-2015-7358 и CVE-2015-7359. Используя эти уязвимости, злоумышленник в состоянии расшифровать зашифрованные данные.

Так как поддержка TrueCrypt при непонятных обстоятельствах прекращена, то уязвимости исправлены в версии 1.15 проекта VeraCrypt, базирующегося на исходном коде TrueCrypt. Те, кто пользуется оригинальными версиями TrueCrypt, подвержены уязвимостям, и им рекомендуется перейти на VeraCrypt как можно скорее.

Отдельный интерес вызывает то, что эти уязвимости не были обнаружены в ходе аудита кода TrueCrypt, завершившегося в апреле 2015 года. По мнению экспертов, это иллюстрирует то факт, что аудит кода не является панацеей.

Для эксплуатации уязвимостей злоумышленнику нужен локальный доступ к компьютеру.


Возврат к списку