Обе уязвимости получили статус критических.
TrueCrypt, возможно, уже является воспоминанием для большинства его пользователей, однако это не останавливает исследователей и хакеров от поиска проблем в некогда популярном криптографическом ПО. Некоторое время назад специалисты команды Google Project Zero обнаружили в TrueCrypt две позволяющие повышение привилегий уязвимости, которые уже устранены в форке VeraCrypt.
Исследователь Джеймс Форшоу (James Forshaw) пока не раскрывает подробностей о брешах, однако отмечает, уязвимости могли остаться незамеченными при проведении аудита кода платформы. Обе бреши получили статус критических.
По словам основателя IDRIX и разработчика VeraCrypt Мунира Идрасси (Mounir Idrassi), эксплуатация одной из брешей ( CVE-2015-7358 ) позволяет атакующему использовать работающие процессы для получения полных административных привилегий.
Вторая уязвимость (CVE-2015-7359) существует в связи с отсутствием проверки контекста безопасности вызова пользователя. Это позволяет атакующему выдать себя за другого пользователя на том же устройстве, демонтировать том VeraCrypt или изменить конфигурацию программного обеспечения.
Идрасси отметил, что данные проблемы относятся к тому типу уязвимостей, о которых известно давно, и которые могли эксплуатироваться годами.
Ладно, не доказали. Но мы работаем над этим