QuarksLab 基于OSTF(Open Source Technology Improvement Fund)的资助, 对开源硬盘加密软件VeraCrypt进行安全审计. QuarksLab最新公布了审计报告, 安全研究人员 Jean-Baptiste Bédrune 和解密专家 Marion Videau  发现VeraCrypt 1.18版存在 8 个高危漏洞、3 个中危漏洞以及 15 个低危漏洞。

审计报告指出,VeraCrypt 1.18版本最重要的特征之一UEFI支持,代码单独存储在一个库中,库名为“VeraCrypt-DCS”(硬盘加密服务)。这个新模块被认为不如项目中其它模块成熟,因为有些部分仍是不完整,或未能实现的。”该引导装载程序处理的数据很少清除。用户密码在启动时适当清除。但是,当用户修改密码时,包含新密码的 Password 结构将不会被清除。”

目前VeraCrypt 1.9已解决了高危、中危和许多低危漏洞。无论如何,大量漏洞仍未解决是因为修复的复杂性较高。

报告称,“审计出的所有漏洞已经被正确修复(除了其中一个漏洞遗漏)。特别是OCAP(Open Crypto Audit Project)审计后,James Forshaw在TrueCrypt缓冲区中发现的导致特权升级的漏洞已经解决。要求大量修改代码或项目架构的漏洞还未修复。

报告原文:http://blog.quarkslab.com/security-assessment-of-veracrypt-fixes-and-evolutions-from-truecrypt.html