WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Lỗ hổng nghiêm trọng tồn tại trong phần mềm mã hóa VeraCrypt
Một đánh giá an ninh mới đây tìm thấy nhiều lỗ hổng nghiêm trọng trong VeraCrypt, một chương trình mã hóa toàn bộ ổ đĩa mã nguồn mở. Đây là phần mềm kế nhiệm của TrueCrypt – phần mềm rất phổ biến nhưng không còn tồn tại.
Người dùng được khuyến cáo nâng cấp lên phiên bản VeraCrypt 1.19 được phát hành hôm thứ Hai, gồm các bản vá lỗi cho hầu hết lỗ hổng. Một số vấn đề vẫn chưa được khắc phục vì yêu cầu có những thay đổi phức tạp trong mã và trong một số trường hợp sẽ phá vỡ tính tương thích ngược với TrueCrypt.
Tuy nhiên, ảnh hưởng của hầu hết các vấn đề có thể phòng tránh bằng cách làm theo các thực hành an toàn được đề cập trong tài liệu hướng dẫn sử dụng VeraCrypt khi thiết lập vùng (container) mã hóa và sử dụng phần mềm.
Chương trình đánh giá, do công ty an ninh mạng QuarksLab (Pháp) thực hiện và OSTIF (Open Source Technology Improvement Fund) tài trợ, tìm thấy 8 lỗ hổng nghiêm trọng, 3 lỗ hổng mức nguy hiểm trung bình và 15 lỗ hổng nguy cơ thấp. Một số trong đó là những vấn đề chưa được vá trước đây được tìm thấy qua một chương trình đánh giá TrueCrypt cũ.
Nhiều lỗi đã được định vị và vá trong bootloader của VeraCrypt cho máy tính và các hệ điều hành sử dụng UEFI mới (Unified Extensible Firmware Interface) - BIOS hiện đại. TrueCrypt, nền tảng cho VeraCrypt, không hỗ trợ UEFI, buộc người sử dụng vô hiệu hóa khởi động UEFI nếu muốn mã hóa phân vùng hệ thống.
Bootloader tương thích với UEFI của VeraCrypt - chương trình mã hóa mã nguồn mở đầu tiên trên Windows - được phát hành trong tháng 8 và là bổ sung lớn nhất đối với cơ sở mã TrueCrypt được thực hiện bởi nhà phát triển Mounir Idrassi của VeraCrypt. Điều này làm cho chương trình kém hoàn thiện hơn phần còn lại của mã, do đó có nhiều lỗi hơn.
Một thay đổi khác được thực hiện sau chương trình đánh giá là việc loại bỏ tiêu chuẩn mã hóa GOST 28147-89 của Nga, mà các nhà đánh giá cho rằng việc thực thi là không an toàn. Người dùng vẫn có thể giải mã và truy cập các container được mã hóa với thuật toán này, nhưng không thể tạo ra container mới.
Các thư viện XZip và Xunzip, được sử dụng trong VeraCrypt cho nhiều hoạt động khác nhau cũng có lỗi, vì vậy nhà phát triển đã quyết định thay thế chúng bằng thư viện libzip hiện đại và an toàn hơn.
Trong khi VeraCrypt có trên nhiều hệ điều hành, nó có ảnh hưởng lớn nhất đến Windows, vì không có nhiều lựa chọn mã hóa toàn bộ ổ đĩa miễn phí trên Windows cũng cho phép mã hóa ổ đĩa hệ điều hành.
Công nghệ mã hóa ổ đĩa BitLocker của Microsoft chỉ có trong các phiên bản Windows chuyên nghiệp và doanh nghiệp, và hầu hết các giải pháp khác là thương mại. Đây là những gì khiến cho TrueCrypt trở nên rất phổ biến ngay từ đầu và tại sao sự sụp đổ đột ngột của nó để lại một khoảng trống lớn.
Idrassi làm rõ trên Twitter hôm thứ Ba rằng tất cả các vấn đề trong VeraCrypt và một vấn đề kế thừa từ TrueCrypt đã được vá trong VeraCrypt 1.19. Những vấn đề chưa được vá còn lại đều được kế thừa từ TrueCrypt.
Theo ComputerWeek
Người dùng được khuyến cáo nâng cấp lên phiên bản VeraCrypt 1.19 được phát hành hôm thứ Hai, gồm các bản vá lỗi cho hầu hết lỗ hổng. Một số vấn đề vẫn chưa được khắc phục vì yêu cầu có những thay đổi phức tạp trong mã và trong một số trường hợp sẽ phá vỡ tính tương thích ngược với TrueCrypt.
Tuy nhiên, ảnh hưởng của hầu hết các vấn đề có thể phòng tránh bằng cách làm theo các thực hành an toàn được đề cập trong tài liệu hướng dẫn sử dụng VeraCrypt khi thiết lập vùng (container) mã hóa và sử dụng phần mềm.
Chương trình đánh giá, do công ty an ninh mạng QuarksLab (Pháp) thực hiện và OSTIF (Open Source Technology Improvement Fund) tài trợ, tìm thấy 8 lỗ hổng nghiêm trọng, 3 lỗ hổng mức nguy hiểm trung bình và 15 lỗ hổng nguy cơ thấp. Một số trong đó là những vấn đề chưa được vá trước đây được tìm thấy qua một chương trình đánh giá TrueCrypt cũ.
Nhiều lỗi đã được định vị và vá trong bootloader của VeraCrypt cho máy tính và các hệ điều hành sử dụng UEFI mới (Unified Extensible Firmware Interface) - BIOS hiện đại. TrueCrypt, nền tảng cho VeraCrypt, không hỗ trợ UEFI, buộc người sử dụng vô hiệu hóa khởi động UEFI nếu muốn mã hóa phân vùng hệ thống.
Bootloader tương thích với UEFI của VeraCrypt - chương trình mã hóa mã nguồn mở đầu tiên trên Windows - được phát hành trong tháng 8 và là bổ sung lớn nhất đối với cơ sở mã TrueCrypt được thực hiện bởi nhà phát triển Mounir Idrassi của VeraCrypt. Điều này làm cho chương trình kém hoàn thiện hơn phần còn lại của mã, do đó có nhiều lỗi hơn.
Một thay đổi khác được thực hiện sau chương trình đánh giá là việc loại bỏ tiêu chuẩn mã hóa GOST 28147-89 của Nga, mà các nhà đánh giá cho rằng việc thực thi là không an toàn. Người dùng vẫn có thể giải mã và truy cập các container được mã hóa với thuật toán này, nhưng không thể tạo ra container mới.
Các thư viện XZip và Xunzip, được sử dụng trong VeraCrypt cho nhiều hoạt động khác nhau cũng có lỗi, vì vậy nhà phát triển đã quyết định thay thế chúng bằng thư viện libzip hiện đại và an toàn hơn.
Trong khi VeraCrypt có trên nhiều hệ điều hành, nó có ảnh hưởng lớn nhất đến Windows, vì không có nhiều lựa chọn mã hóa toàn bộ ổ đĩa miễn phí trên Windows cũng cho phép mã hóa ổ đĩa hệ điều hành.
Công nghệ mã hóa ổ đĩa BitLocker của Microsoft chỉ có trong các phiên bản Windows chuyên nghiệp và doanh nghiệp, và hầu hết các giải pháp khác là thương mại. Đây là những gì khiến cho TrueCrypt trở nên rất phổ biến ngay từ đầu và tại sao sự sụp đổ đột ngột của nó để lại một khoảng trống lớn.
Idrassi làm rõ trên Twitter hôm thứ Ba rằng tất cả các vấn đề trong VeraCrypt và một vấn đề kế thừa từ TrueCrypt đã được vá trong VeraCrypt 1.19. Những vấn đề chưa được vá còn lại đều được kế thừa từ TrueCrypt.
Theo ComputerWeek
Chỉnh sửa lần cuối bởi người điều hành: