VeraCrypt sérülékenységek

CH azonosító

CH-13633

Angol cím

VeraCrypt vulnerabilities

Felfedezés dátuma

2016.10.16.

Súlyosság

Magas

Érintett rendszerek

VeraCrypt

Érintett verziók

1.19 előtti.

Összefoglaló

A VeraCrypt magas, közepes, és alacsony kockázati besorolású sérülékenységei váltak ismertté, melyeket kihasználva a támadó kompromittálhatja a felhasználó rendszerét. A sérülékenységeket kiküszöbölő megoldás nagy része már beszerezhető a gyártótól, bizonyos hibákhoz pedig elkerülő megoldásokat publikáltak.

Leírás

A VeraCrypt szofvertben, és annak bootloaderjében számos sebezhetőséget találtak, a legsúlyosabb feltárt biztonsági rések közé az alábbiak tartoznak:

A GOST 28147-89-es titkosítás használata esetén a támadó – az elavult és nem biztonságos eljárás miatt – bizalmas információkhoz juthat.

Az XZip and XUnzip implementációja számos sebezhetőséget tartalmaz, így pl. a mentő lemezek olvasásakor a támadó memóriakorrupciót okozhat. Továbbá az inflate és deflate sérülékeny verziója és vele érkezik.

Az operációs rendszer partíció titkosításának feloldásához szükséges jelszó hosszúsága kiszámítható. A kihasználáshoz olvasási jogosultság szükséges a BIOS memóriához.

A szofver az autentikációt követően nem törli a billenytűleütéseket, illetve nem kezeli megfelelően az újonnan adott jelszavakat, a biztonsági rést kihasználva a támadó bizalmas információkhoz juthat.

Megoldás

Frissítsen a legújabb verzióra

Megoldás

Frissítsen az 1.19-es verzióra.


Legfrissebb sérülékenységek
CVE-2022-44580 – RichPlugins Plugin For Google Reviews for WordPress sérülékenysége
CVE-2023-23421 – Microsoft Windows sérülékenysége
CVE-2023-23422 – Microsoft Windows sérülékenysége
CVE-2023-23420 – Microsoft Windows sérülékenysége
CVE-2023-23423 – Microsoft Windows sérülékenysége
CVE-2022-39214 – Combodo iTop (aka IT Operations Portal) sérülékenysége
CVE-2022-39216 – Combodo iTop (aka IT Operations Portal), Combodo iTop (aka IT Operations Portal) Community Edition sérülékenysége
CVE-2023-27501 – sap / netweaver application server abap, SAP NetWeaver Application Server ABAP sérülékenysége
CVE-2023-26360 – Adobe ColdFusion Improper Access Control sérülékenysége
CVE-2023-23397 – Microsoft Office Outlook sérülékenysége
Tovább a sérülékenységekhez »