Фондом Open Source Technology Improvement Fund были обнародованы результаты проверки безопасности проекта VeraCrypt, в рамках которого идет развитие форка системы шифрования TrueCrypt. Эксперты компании QuarksLab в ходе месячного аудита обнаружили 36 уязвимостей, включая 8 критических.
Ошибки в основном присутствуют в сторонних библиотеках сжатия и UEFI-загрузчике VeraCrypt. Наиболее опасная уязвимость была обнаружена в загрузчике UEFI. Она дает возможность восстанавливать загрузочный пароль. Как утверждают исследователи Жан-Батист Бедруне и Марион Видо, причиной существования уязвимости является некорректная процедура удаления пароля при его редактировании.
Большинство проблем, которые были выявлены в ходе проверки версии VeraCrypt 1.19, устранено разработчиками VeraCrypt. Так, ликвидирована поддержка шифрования с применением алгоритма шифрования GOST 28147-89 из-за многочисленных ошибок в его реализации. Разработчики решили оставить поддержку расшифровки, но теперь у пользователей нет возможности создавать новые разделы с шифрованием GOST 28147-89.
Также теперь вместо XZip и Xunzip в VeraCrypt используется более современная и защищенная библиотека libzip. Помимо этого, разработчики исправили различные уязвимости, включая проблему, которая позволяет определять длину пароля в классическом загрузчике, и ошибку, провоцирующую повреждение памяти.
В то же время многие проблемы остаются неисправленными, поскольку для их решения нужно существенно переработать архитектуру.