شماره: IRCNE2015092644
تاريخ: 07/08/94
كاربران ويندوز كه از TrueCrypt براي رمزگذاري هارد درايوها استفاده مي كنند داراي مشكل امنيتي مي باشند. يك محقق امنيتي دو آسيب پذيري بحراني را در TrueCrypt شناسايي كرده است.
برنامه TrueCrypt از طريق توليدكننده اصلي آن پشتيباني نشد اما به عنوان يكي از گزينه هاي رمزگذاري در ويندوز باقي ماند. اين مساله محققان را ترغيب كرد تا حفره هاي موجود در برنامه را شناسايي كنند.
جيمز فورشو، يكي از اعضاي گروه Google's Project Zero كه آسيب پذيري هاي بسياري را در نرم افزارهاي پركاربرد شناسايي كرده، اخيرا دو آسيب پذيري را در درايوي كه برنامه TrueCrypt بر روي سيستم ويندوز نصب شده است پيدا كرده است.
اين آسيب پذيري ها مي تواند به مهاجمان اجازه دهد تا در صورت دسترسي به حساب كاربر محدود شده بتوانند حق دسترسي هاي خود را بر روي سيستم افزايش دهند.
توليد كننده اصلي اين برنامه كه ناشناس مي باشد پشتيباني از اين پروژه را از ماه مي 2014 متوقف كرد و هشدار داد كه اين برنامه داراي مشكلات امنيتي اصلاح نشده است و به كاربران توصيه كرد تا از رمزگذاري BitLocker استفاده كنند.
محققان گوگل جزئيات اين آسيب پذيري ها را افشاء نكرده اند و توضيح دادند كه هفت روز پس از اصلاح اين آسيب پذيري ها، گزارش آن را منتشر خواهند كرد.
از آنجايي كه اين برنامه توسط توليدكننده آن پشتيباني نمي شود در نتيجه اين مشكلات به طور مستقيم در كد برنامه اصلاح نخواهد شد. با اينحال، اين آسيب پذيري ها در VeraCrypt، برنامه منبع باز مبتني بر كد TrueCrypt برطرف مي شوند.
اين مشكلات در VeraCrypt نسخه 1.15 اصلاح شده است. يكي از اين آسيب پذيري ها با شماره CVE-2015-7358 بحراني مي باشد.
به كاربراني كه از TrueCrypt استفاده مي كنندتوصيه مي شود تا در اسرع وقت برنامه رمزگذاري خود را به VeraCrypt تغيير دهند. عليرغم اصلاح اين دو آسيب پذيري اما برنامه TrueCrypt هم چنان داراي آسيب پذيري هاي امنيتي مي باشد.
- 13