TrueCrypt, i bug passati inosservati

Due vulnerabilità potenzialmente pericolose scovate all'interno del codice di TrueCrypt: il progetto originale, oramai defunto, ha passato il testimone ai successori e gli sviluppatori hanno già corretto i bug
Due vulnerabilità potenzialmente pericolose scovate all'interno del codice di TrueCrypt: il progetto originale, oramai defunto, ha passato il testimone ai successori e gli sviluppatori hanno già corretto i bug

Il codice di TrueCrypt contiene due bug potenzialmente gravi, dice James Forshaw, membro del Project Zero di Google che ha identificato le vulnerabilità dopo il processo di auditing del software conclusosi con un giudizio sostanzialmente positivo con qualche segnale di attenzione qua e là.

Le due vulnerabilità (critiche) scovate da Forshaw necessitano dell’accesso diretto al PC, e permettono di ottenere privilegi di amministratore sul sistema abusando la gestione delle lettere assegnate alle unità di storage (CVE-2015-7358) o della gestione non corretta degli Impersonation Token (CVE-2015-7359).

I bachi non sono classificabili come backdoor, ha ammesso il ricercatore, ma è altresì chiaro che l’auditing nel codice di TrueCrypt non ha potuto identificarli e deve quindi essere considerato come un processo di verifica imperfetto non privo di rischi sul lungo periodo.

TrueCrypt contiene ancora vulnerabilità pericolose nonostante le rassicurazioni scaturite dall’auditing terminato lo scorso aprile, suggerisce Forshaw, e continuerà a esserlo anche in futuro visto il clamoroso abbandono da parte degli sviluppatori. Fortunatamente per gli utenti con la necessità di criptare i propri dati, però, il fork di TrueCrypt noto come VeraCrypt ha corretto i nuovi bug con la distribuzione della release 1.15 .

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

30 09 2015
Link copiato negli appunti