Il codice di TrueCrypt contiene due bug potenzialmente gravi, dice James Forshaw, membro del Project Zero di Google che ha identificato le vulnerabilità dopo il processo di auditing del software conclusosi con un giudizio sostanzialmente positivo con qualche segnale di attenzione qua e là.
Le due vulnerabilità (critiche) scovate da Forshaw necessitano dell’accesso diretto al PC, e permettono di ottenere privilegi di amministratore sul sistema abusando la gestione delle lettere assegnate alle unità di storage (CVE-2015-7358) o della gestione non corretta degli Impersonation Token (CVE-2015-7359).
I bachi non sono classificabili come backdoor, ha ammesso il ricercatore, ma è altresì chiaro che l’auditing nel codice di TrueCrypt non ha potuto identificarli e deve quindi essere considerato come un processo di verifica imperfetto non privo di rischi sul lungo periodo.
Even though my #truecrypt bugs weren’t back doors it’s clear that it was possible to sneak them past an audit 😞
– James Forshaw (@tiraniddo) 28 Settembre 2015
TrueCrypt contiene ancora vulnerabilità pericolose nonostante le rassicurazioni scaturite dall’auditing terminato lo scorso aprile, suggerisce Forshaw, e continuerà a esserlo anche in futuro visto il clamoroso abbandono da parte degli sviluppatori. Fortunatamente per gli utenti con la necessità di criptare i propri dati, però, il fork di TrueCrypt noto come VeraCrypt ha corretto i nuovi bug con la distribuzione della release 1.15 .
Alfonso Maruccia
Ti potrebbe interessare
30 set 2015