Haavoittuvuuksia TrueCrypt-ohjelmistoissa

Tiedostojen ja levyosioiden salaamiseen käytetystä TrueCrypt-ohjelmistosta on löydetty kaksi haavoittuvuutta. Käyttäjien tulisi harkita tuettuihin salausohjelmistoihin siirtymistä.

Haavoittuvuuksien avulla paikallinen käyttäjä voi nostaa oikeustasojaan järjestelmätasolle. TrueCrypt-projekti on lakannut ohjelmiston tukemisen, jolloin virallista päivitystä ei ole tiedossa. Haavoittuvuudet koskevat myös VeraCrypt-salausohjelmistoa.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Työasemat ja loppukäyttäjäsovellukset
Lisätietoa +

Hyökkäystapa

  • Paikallisesti
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Käyttövaltuuksien laajentaminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ei päivitystä
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

  • TrueCrypt, kaikki versiot Windows-alustalla
  • VeraCrypt, versiota 1.15 aikaisemmat versiot Windows-alustalla

Ratkaisu- ja rajoitusmahdollisuudet:

TrueCrypt-ohjelmistoon ei tehdä enää päivityksiä. TrueCrypt-käyttäjien tulisi harkita tuetuihin salausohjelmistoihin siirtymistä.

Haavoittuvuudet on korjattu TrueCrypt-pohjaisesta VeraCrypt-ohjelmistosta.

TrueCrypt on edelleen Viestintäviraston hyväksymä salaustuote. Tuotetta käyttäville turvaluokiteltua tietoa käsitteleville asiakkaille on lähetetty kohdennettu ohjeistus haavoittuvuuden vaikutuksia minimoivista toimenpiteistä.

Lisätietoa:

Päivityshistoria

Asiasanat: Internet , CERT , NCSA , NCSC-FI

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248