Er is een nieuwe versie van VeraCrypt verschenen, de op TrueCrypt-gebaseerde encryptiesoftware. Een onderzoeker van Google had in TrueCrypt twee lekken ontdekt die ook in VeraCrypt aanwezig waren. Via de lekken kon een lokale aanvaller die al toegang tot het systeem heeft zijn rechten verhogen.
TrueCrypt wordt sinds vorig jaar niet meer ondersteund, waardoor de twee kwetsbaarheden niet worden gepatcht. VeraCrypt is op de broncode van TrueCrypt gebaseerd en wordt nog wel actief onderhouden. Naast de twee kwetsbaarheden zijn ook verschillende andere niet-security gerelateerde bugs verholpen. Gebruikers van VeraCrypt krijgen dan ook het advies om naar versie 1.15 te upgraden.
James Forshaw, de onderzoeker van Google die de kwetsbaarheden ontdekte, stelt dat het hier niet om backdoors gaat, maar dat ze wel ongemerkt door de TrueCrypt-audit heen kwamen. Vorig jaar werd TrueCrypt op de aanwezigheid van backdoors geaudit, waarbij verschillende problemen werden gevonden. Backdoors werden niet aangetroffen. Een paar weken nadat het eerste deel van de audit was afgerond besloten de TrueCrypt-ontwikkelaars met de ontwikkeling van de software te stoppen. De gevonden problemen werden daardoor niet gepatcht, wat ook voor nieuwe kwetsbaarheden geldt.
Deze posting is gelocked. Reageren is niet meer mogelijk.