7
Kritische Sicherheitslücken in Verschlüsselungssoftware TrueCrypt entdeckt
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 284332
Url: https://administrator.de/forum/kritische-sicherheitsluecken-in-verschluesselungssoftware-truecrypt-entdeckt-284332.html
Ausgedruckt am: 15.04.2025 um 16:04 Uhr
7 Kommentare
Neuester Kommentar
Nunja, Sicherheitskritische Lücken in sicherheitskritischer Softwrae sidn an sich keine Seltenheit. Der Punkt ist, wie schnell diese gefixt werden. di aktuell gefunden sollen in veracrypt, einem fork von truecrypt, schon gefixt sein.
lks
Nur eine von beiden. Kann man hier nachlesen:
https://veracrypt.codeplex.com/wikipage?title=Release%20Notes
Ankh
https://veracrypt.codeplex.com/wikipage?title=Release%20Notes
Ankh
Also sieht mir nach den beiden aus:
VG
Val
1.15 (September 26th, 2015):
Windows:
Fix two TrueCrypt vulnerabilities reported by James Forshaw (Google Project
Zero)
CVE-2015-7358 (critical): Local Elevation of Privilege on Windows by
abusing drive letter handling.
CVE-2015-7359: Local Elevation of Privilege on Windows caused by
incorrect Impersonation Token Handling.VG
Val
Ja!
Da ist ein Zahlendreher drin:
ZDNET: ... 7538 und ...7539
VeraCrypt: ...7358 und ...7359
Hat mich wohl irritiert ...
Da ist ein Zahlendreher drin:
ZDNET: ... 7538 und ...7539
VeraCrypt: ...7358 und ...7359
Hat mich wohl irritiert ...
Hi!
Naja ich für meinen Teil würde nach den Snowden Veröffentlichungen einer, noch so grottig entwickelten, Open-Source Lösung weiter trauen, als jedem kommerziellen Produkt. Besonders wenn es von einem amerikanischen Konzern kommt....Wie heisst es immer in der Werbung: "Rooooooooobert da kannste sischer sein..." nämlich, dass weder die, in dem nervigen Werbespot, erwähnte "Vergleichsagentur", noch irgendwelche amerikanischen "Sicherheitsfirmen" frei von sogenannten "Fehlern" oder "Sicherheitslücken" sind....Und im Extremfall kann man bei Opensource Projekten zumindest mal einen Blick in die Quellen werfen, was bei geschlossenen Systemen von vorne herein nicht möglich ist und ja auch so gewollt ist....
mrtux
Naja ich für meinen Teil würde nach den Snowden Veröffentlichungen einer, noch so grottig entwickelten, Open-Source Lösung weiter trauen, als jedem kommerziellen Produkt. Besonders wenn es von einem amerikanischen Konzern kommt....Wie heisst es immer in der Werbung: "Rooooooooobert da kannste sischer sein..." nämlich, dass weder die, in dem nervigen Werbespot, erwähnte "Vergleichsagentur", noch irgendwelche amerikanischen "Sicherheitsfirmen" frei von sogenannten "Fehlern" oder "Sicherheitslücken" sind....Und im Extremfall kann man bei Opensource Projekten zumindest mal einen Blick in die Quellen werfen, was bei geschlossenen Systemen von vorne herein nicht möglich ist und ja auch so gewollt ist....
mrtux
Was mich ja eherlich gesagt gewundert hat, ist dass es damals überhaupt keine große Welle gab,
als TrueCrypt den Löffel abgegeben hat.
Ich hatte mehr damit gerechnet: "Ach, nächste Woche steht auf jeder Seite was passiert ist, warteste halt ab...".
Viel gekommen war in den Medien aber nicht.
als TrueCrypt den Löffel abgegeben hat.
Ich hatte mehr damit gerechnet: "Ach, nächste Woche steht auf jeder Seite was passiert ist, warteste halt ab...".
Viel gekommen war in den Medien aber nicht.
Mal nüchtern betrachtet:
Aufschließen kann man damit nicht, also was ändert sich?
Systemrechte kann sich unter Truecrypt jeder verschaffen, schon immer, da diese Verschlüsselung keine Hierarchie kennt. Wer das Verschlüsselungskennwort hat, kann nicht nur das System starten, nein, er kann es auch entschlüsseln und manipulieren. Gib mir so ein Kennwort und ich hab in einer Minute Systemrechte, auch auf dem gepatchten Ding.
Aufschließen kann man damit nicht, also was ändert sich?
Systemrechte kann sich unter Truecrypt jeder verschaffen, schon immer, da diese Verschlüsselung keine Hierarchie kennt. Wer das Verschlüsselungskennwort hat, kann nicht nur das System starten, nein, er kann es auch entschlüsseln und manipulieren. Gib mir so ein Kennwort und ich hab in einer Minute Systemrechte, auch auf dem gepatchten Ding.
