В приложении VeraCrypt найдено множество уязвимостей

Проверка выявила наличие критических уязвимостей в открытом приложении VeraCrypt, программе полного шифрования дисков, которая является преемником популярного прежде приложения TrueCrypt. Поддержка последнего ранее была прекращена. Пользователям предлагается обновиться до выпущенной в понедельник версии VeraCrypt 1.19, которая закрывает большинство этих уязвимостей. Некоторые уязвимости требуют внесения в программу сложных изменений и могут нарушить обратную совместимость с TrueCrypt.

К счастью, опасность от них может быть сведена к минимуму соблюдением правил, указанных в документации VeraCrypt для настройки зашифрованных контейнеров. Проверку приложения выполняла французская компания QuarksLab при поддержке фонда Open Source Technology Improvement Fund (OSTIF). Она нашла восемь критических уязвимостей, три средних и пятнадцать начального уровня. Некоторые из них найдены ещё раньше в TrueCrypt и не были закрыты.

Ряд уязвимостей найдены и закрыты в загрузчике VeraCrypt для компьютеров, использующих UEFI (Unified Extensible Firmware Interface). TrueCrypt не поддерживала UEFI, так что приходилось отключать UEFI, чтобы зашифровать разделы диска. У VeraCrypt загрузчик совместим с UEFI, впервые для открытых программ шифрования на Windows. Он появился в августе и стал крупнейшим добавлением к коду TrueCrypt. Поскольку код новый, в нём есть недоработки.

Другим изменением стало устранение поддержки российского стандарта шифрования ГОСТ 28147-89, который посчитали небезопасным. Пользователи смогут получать доступ и расшифровывать имеющиеся контейнеры с данным алгоритмом, но не смогут создавать новые.

Библиотеки XZip и XUnzip из VeraCrypt также имеют уязвимости, так что им на смену приходит libzip.