به گزارش گررداب از پلیس فتا کاربران ویندوز که از «TrueCrypt» برای رمزگذاری هارد درایوها استفاده میکنند دارای مشکلات امنیتی هستند. یک محقق امنیتی دو آسیبپذیری بحرانی را در TrueCrypt شناسایی کرده است.
برنامه TrueCrypt از طریق تولیدکننده اصلی آن پشتیبانی نمیشود؛ اما به عنوان یکی از گزینههای رمزگذاری در ویندوز باقیمانده است. این مسئله محققان را ترغیب کرد تا حفرههای موجود در برنامه را شناسایی کنند.
جیمز فورشو (James Fvrshv)، یکی از اعضای گروه «Google’s Project Zero» که آسیبپذیریهای بسیاری را در نرمافزارهای پرکاربرد شناسایی کرده اخیر دو آسیبپذیری را در درایوی که برنامه TrueCrypt بر روی سیستم ویندوز نصب شده پیدا کرده است.
این آسیبپذیریها میتواند به مهاجمان اجازه دهد تا در صورت دسترسی به حساب کاربر محدود شده بتوانند حق دسترسیهای خود را بر روی سیستم افزایش دهند.
تولیدکننده اصلی این برنامه که ناشناس است پشتیبانی از این پروژه را از ماه می ۲۰۱۴ متوقف کرد و هشدار داد که این برنامه دارای مشکلات امنیتی اصلاح نشده است. وی به کاربران توصیه کرد تا از رمزگذاری «BitLocker» استفاده کنند.
محققان گوگل جزئیات این آسیبپذیریها را افشاء نکردهاند و توضیح دادند که هفت روز پس از اصلاح این آسیبپذیریها، گزارش آن را منتشر خواهند کرد.
از آنجایی که این برنامه توسط تولیدکننده آن پشتیبانی نمیشود در نتیجه این مشکلات به طور مستقیم در کد برنامه اصلاح نخواهد شد. با این حال، این آسیبپذیریها در «VeraCrypt»، برنامه منبع باز مبتنی بر کد TrueCrypt برطرف میشوند.
این مشکلات در VeraCrypt نسخه ۱٫۱۵ اصلاح شده است. کد یکی از این آسیبپذیریها ( CVE-2015-7358) است.
به کاربرانی که از TrueCrypt استفاده میکنند توصیه میشود تا در اسرع وقت برنامه رمزگذاری خود را به VeraCrypt تغییر دهند. علیرغم اصلاح این دو آسیبپذیری برنامه TrueCrypt هم چنان دارای آسیبپذیریهای امنیتی است.