![](https://www.kv.by/sites/default/files/styles/post_picture/public/truecrypt-m.jpg?itok=8toFvM7G)
Популярная утилита для шифрования на лету TrueCrypt оказалась не без изъяна. Эксперт команды по поиску уязвимостей Google Project Zero Джеймс Форшоу (James Forshaw) обнаружил в ней сразу две критические ошибки. Они не связаны напрямую с алгоритмом шифрования, но позволяют атакующему получить доступ к хранящимся в зашифрованном контейнере данным.
Найденные уязвимости получили записи с индексами CVE-2015-7358 и CVE-2015-7359 в базе некоммерческой организации MITRE (поддерживается US-CERT – подразделением по борьбе с угрозами в сфере высоких технологий Министерства национальной безопасности США).
Обе уязвимости существуют на уровне драйвера TrueCrypt для шифрования на лету. Первая связана с некорректной обработкой им символических ссылок при монтировании виртуальных дисков. Вторая – с отсутствием у драйвера надёжных механизмов аутентификации пользователя при обработке команд о внесении изменений на диск. В результате атакующая сторона может получить несанкционированный доступ к содержимому шифрованного контейнера в некоторых реалистичных сценариях.
Подробности Форшоу обещал раскрыть позже. Обычно такая тактика «белых» хакеров связана с желанием предоставить разработчику время на выпуск патча, но официальная поддержка True Crypt завершилась в прошлом году.
![Версия для печати Версия для печати](https://www.kv.by/sites/all/modules/print/icons/print_icon.png)
Горячие темы