TrueCrypt加密软件有两个关键缺陷：是时候继续前进了

不再可用'TrueCrypt加密软件，那么你需要注意。

 

在最著名的加密工具TrueCrypt中发现了两个关键的安全漏洞，如果受到攻击，用户的数据可能会暴露给黑客。

 

TrueCrypt于今年早些时候接受了一组安全研究人员的审核，结果发现它没有后门。

 

詹姆斯·福肖，安全研究员谷歌的零点计划— 寻找零日漏洞；在TrueCrypt包中发现了两个权限提升缺陷。

去年，TrueCrypt项目因其神秘的开发人员声称Windows磁盘加密软件已失效而被放弃未修复的安全问题'.

 

磁盘加密软件是一种广泛使用的在飞行中'开源硬盘加密程序。

 

据报道，TrueCrypt漏洞不会直接允许攻击者解密驱动器数据。相反，成功利用该漏洞可以在受害者的机器上安装恶意软件，这足以找出TrueCrypt的解密密钥和其他敏感数据。

 

 

这两个TrueCrypt漏洞都被评为'批评的，标记为：

 

1.）CVE-2015-7358：第一个漏洞是因为TrueCrypt驱动程序无法正确验证用于装入卷的驱动器号符号链接。

 

因此，攻击者可以访问正在运行的进程并获得完全的管理权限。

 

2.）CVE-2015-7359：然而，在第二个漏洞中，TrueCrypt驱动程序无法在安全上下文中验证用户，攻击者可以利用该漏洞冒充经过身份验证的用户。

 

研究人员James Forshaw（来自Google Project Zero）尚未公开宣布有关漏洞的任何细节，但在他的推特订阅源上表示，这些漏洞过去没有被发现，可能会放弃安全审计和审查。

 

 

此外，TrueCrypt关闭后，几乎没有可用的软件分叉，例如：

上述两种工具都是免费软件，都是基于他们从TrueCrypt借来的意识形态。

 

此外，在TrueCrypt中检测到漏洞后，维拉克里特version 1.15,替补队员即时加密（OTFE）工具修补了威胁其运营的问题。

 

你认为这些缺陷是故意造成的吗？