В результате аудита VeraCrypt обнаружено 8 критических уязвимостей

Фонд OSTIF (Open Source Technology Improvement Fund) обнародовал результаты аудита безопасности проекта VeraCrypt, в рамках которого развивается форк системы шифрования дисковых разделов TrueCrypt. В ходе месячной проверки специалисты компании QuarksLab выявили в общей сложности 36 уязвимостей, 8 из которых получили статус критических, 3 расценены как умеренные,15 - как низкой степени опасности.

В основном проблемы затрагивают сторонние библиотеки сжатия и UEFI-загрузчик VeraCrypt. Самая серьезная уязвимость содержится в загрузчике UEFI и позволяет восстановить содержимое загрузочного пароля. По словам исследователя Жана-Баптиста Бедруне (Jean-Baptiste Bédrune) и криптолога Марион Видо (Marion Videau), уязвимость связана с тем, что пароль не удаляется должным образом при его изменении.

Разработчики VeraCrypt устранили большую часть выявленных в ходе аудита проблем в версии VeraCrypt 1.19. В частности, была полностью удалена поддержка шифрования с использованием симметричного блочного шифра GOST 28147-89 в связи с многочисленными ошибками в реализации алгоритма. Поддержка расшифровки оставлена, однако пользователи теперь не смогут создать новые разделы с шифрованием GOST 28147-89.

XZip и Xunzip были заменены на более современную и защищенную библиотеку libzip. Кроме того, был исправлен ряд уязвимостей, в том числе проблема, позволяющая определить длину пароля в классическом загрузчике и ошибка, которая может привести к повреждению содержимого памяти.

Как отмечается, ряд проблем остается неисправленным в связи с необходимостью существенной переработки архитектуры.