Truecrypt: Sicherheitslücken in Open-Source-Verschlüsselung

Truecrypt wurde im vergangenen Jahr unter rätselhaften Umständen eingestellt. Jetzt sind neue kritische Sicherheitslücken bekanntgeworden. Das Nachfolgeprojekt Veracrypt hat bereits einen Patch veröffentlicht.

30. September 2015 um 10:43 Uhr / Hauke Gierow

64 Kommentare News folgen (öffnet im neuen Fenster)

Truecrypt enthält weitere kritische Sicherheitslücken. (Bild: Open Crypto Audit/Screenshot) — Truecrypt enthält weitere kritische Sicherheitslücken. Bild: Open Crypto Audit/Screenshot

Die von Truecrypt installierten Windows-Treiber enthalten kritische Sicherheitslücken. Das hat James Forshaw von Googles Projekt Zero bekanntgegeben(öffnet im neuen Fenster) . Truecrypt wird seit dem vergangenen Jahr nicht mehr gepflegt – für den Fork Veracrypt ist jedoch bereits ein Patch verfügbar.

Die Sicherheitslücken ermöglichen die Ausführung von Code mit höheren Rechten als die des eigentlichen Nutzers (privilege escalation). Weitere Details zu der Sicherheitslücke wurden noch nicht veröffentlicht – Forshaw möchte damit bis sieben Tage nach Veröffentlichung des Patches warten.(öffnet im neuen Fenster) Dementsprechend führen die Bugreports zu CVE-2015-7358(öffnet im neuen Fenster) und CVE-2015-7359(öffnet im neuen Fenster) derzeit noch auf eine 403-Seite.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Der ultimative Python-Grundkurs im E-Learning-Format

zum Artikel

Karriere Ratgeber: Digital Omnibus: Europas schleichender Abschied vom Datenschutz

zum Ratgeber

Seminar: Container Management und Orchestrierung: virtueller Drei-Tage-Workshop

zum Kurs

E-Learning: Exklusiv: Modern Desktop Administrator - Sicherheit und Compliance mit Microsoft Intune (E-Learning)

zum Kurs

Im vergangenen Jahr finanzierten Nutzer per Crowdfunding einen professionellen Code-Audit von Truecrypt . Die jetzt vorgestellten Lücken wurden dabei offensichtlich übersehen. Dieser Audit wurde durchgeführt, auch nachdem das Projektteam das Aus von Truecrypt bekanntgegeben hatte. Die Macher empfahlen damals(öffnet im neuen Fenster) , auf Alternativen wie Microsofts Bitlocker umzusteigen.

Genaue Gründe für das Aus bis heute unklar

Die genauen Gründe für das Aus des Projekts sind bis heute nicht bekannt. Vermutungen, dass die Truecrypt-Macher von Geheimdiensten gezwungen wurden, Hintertüren in die Verschlüsselung einzubauen, haben sich nicht bestätigt. Auf der ehemaligen Projektseite von Truecrypt wird angegeben, dass das Aus des Projekts zeitgleich mit dem Auslaufen des Supports für Windows-XP komme – weil es jetzt Alternativen für alle Nutzer gäbe.

Der Truecrypt-Fork Veracrypt hat mit der Version 1.15 bereits einen Patch zur Verfügung gestellt.(öffnet im neuen Fenster)