TrueCrypt Windows 加密应用再爆严重安全漏洞

尽管之前开源中国已经报道过关于 TrueCrypt 安全漏洞的问题。但是还是会有很多人在使用该工具用来保护 Windows 的磁盘数据。今天 Google 的 Project Zero 研究人员 James Forshaw 又发现两个新的提权漏洞,这两个漏洞导致攻击者可以完全控制你的数据。James Forshaw 在 Twitter 上称之前 TrueCrypt 是由一个众筹的团队 iSec 进行审计的,审计的错漏是可以理解的,因为 Windows 的驱动要复杂得多。

Forshaw 还没有完全披露这个漏洞,他称将于一周后发布补丁来修复这个漏洞。

@v998n @VeraCrypt_IDRIX I don't tend to open up security bug reports until 7 days or so after the release of the patch, just in case :-)
— James Forshaw (@tiraniddo) September 27, 2015

如果你是因为免费的原因在使用 TrueCrypt,其实还有其他更好的选择,例如 VeraCrypt 和 CipherShed ,这两个都是 TrueCrypt 的衍生改进版本。而且 VeraCrypt 已经堵上了这个漏洞。

文章转载自 开源中国社区[https://www.oschina.net]

时间: 2024-10-18 23:01:26

TrueCrypt Windows 加密应用再爆严重安全漏洞的相关文章

OpenSSL 再爆严重安全漏洞 —— CCS 注入

OpenSSL 的 ChangeCipherSpec 处理再报严重安全漏洞,该漏洞使得攻击者可以拦截恶意中间节点加密和解密数据,同时迫使使用弱密钥的SSL客户端暴露在恶意节点. 当软件使用OpenSSL的受影响版本,通过网页浏览.电子邮件和VPN进行内容和身份验证等加密通讯时会有篡改的风险. 受影响的版本包括: OpenSSL 1.0.1 through 1.0.1g OpenSSL 1.0.0 through 1.0.0l all versions before OpenSSL 0.9.8y

Adobe Flash再爆零日漏洞 或被用于恶意广告攻击

继1月23日公布Adobe Flash漏洞之后,趋势科技的于近日率先发现一种新的Adobe Flash零日漏洞,这个被标识为"CVE-2015-0313"的漏洞会影响Adobe Flash最新版本及之前的版本,并可能被应用于恶意广告攻击.由于Adobe公司还没有发布针对此漏洞的正式补丁或解决方案,趋势科技建议用户暂时禁用或阻止受影响版本的Flash Player. 目前,已有恶意网站利用该漏洞进行攻击.趋势科技监测发现,国外某热门网站的访问者会被重定向到一系列被篡改的URL,并最终被重

微软再爆零日漏洞逾133万台电脑遭攻击

本报讯(记者/蔡伟)继微软视频控件漏洞出现之后,昨日,两大杀毒软件厂商瑞星和赛门铁克再度发出安全警报,称发现微软视频技术控件(ActiveXcontrol)爆发零日(0day)漏洞,目前已有133万余台电脑遭攻击. 据悉,零日漏洞最早于8日被黑客利用,最近每天被该漏洞攻击的电脑都在20万台以上,并于昨日达到攻击最高峰.然而,由于微软尚未对外发布修补此漏洞的补丁,截至目前,累积超过133万台电脑被使用该漏洞的挂马网站攻击. 期间,网络攻击者目前主要通过WindowsXP系统上的IE浏览器利用该漏洞

微软再爆IE 0day漏洞 绿盟科技提供预警及防护手段

继今年1月14日微软IE浏览器曝出"Aurora"0day漏洞而引发了大规模的挂马攻击后,昨日微软IE浏览器再次爆出严重级别的0day漏洞(Microsoft IE畸形对象操作内存破坏漏洞CVE-2010-0806),受影响的IE浏览器版本包括IE7.0.IE6.0 SP1.IE6.0等几乎所有主流版本. 由于IE在处理非法的对象操作时存在内存破坏漏洞,远程攻击者可能利用此漏洞通过诱使用户访问恶意网页在用户系统上执行指令,从而完全控制用户系统.此漏洞是一个0day漏洞,目前已经报告有利

维基解密再爆CIA工具,可重定向目标计算机流量

本文讲的是维基解密再爆CIA工具,可重定向目标计算机流量,   近日,维基解密再次公布了一批新的Vault 7文档,其中详细说明了美国中央情报局(CIA)针对本地网络创建的一款中间人(MitM)攻击工具"阿基米德"(Archimedes). 自三月以来,维基解密已经发布了数千份机密文档,其中各种0day漏洞.恶意程序.新型工具等应有尽有,举报组织(即维基解密)声明所有这些文档均来自美国中央情报局. 上周五(5月5日),维基解密再次曝光了一批新的"Vault 7"文档

ImageMagick再爆严重漏洞,可导致雅虎邮箱用户邮件内容泄漏

本文讲的是ImageMagick再爆严重漏洞,可导致雅虎邮箱用户邮件内容泄漏, 在安全研究员发现图片处理库ImageMagick存在严重漏洞.可导致服务器内存数据泄漏错误后,雅虎工程师决定把自家网站上的这个库换掉.而由于ImageMagick的高权限,用户收件箱里的邮件图片可能会泄露. ImageMagick擅长处理Web服务器上的各种图片格式,是全球范围都很流行的Web开发者工具包,国内许多互联网公司也都在用.但它在安全上不太行,曾经出现过许多漏洞,其中最著名的一个叫魔图攻击(ImageTra

《卫报》记者再爆猛料“NSA在销往海外路由器中植后门”

5月13日,<卫报>记者再爆猛料"NSA在销往海外路由器中植后门".原来,负责报道"棱镜门"的<卫报>记者格伦·格林沃尔德在他的新书中透露,美国国家安全局(简称"NSA")在美国供应商提供给国外客户的路由器和其他网络设备中设置了"后门",NSA因此得以访问整个网络及其所有用户.虽然新书中并没有指出是那些企业的路由器被设置了"后门",但是路由器后门问题因为"棱镜门"

【硅谷连线】苹果代工厂再爆多项违规 Lyft和Uber或双双阵亡

中云网每天连线硅谷,呈现最新鲜资讯!这里的硅谷指的是国外具有典型性和创新性企业代表. 1. 苹果代工厂再爆多项违规:薪资过低 工作时间过长等 http://tech.ifeng.com/apple-tech/detail_2014_08/18/38303833_0.shtml 美国非营利性监督机构"公平劳工协会"(下称"FLA")近日发布报告称,苹果代工合作生产商在中国运营的两家工厂存在一系列问题,包括员工工作时间过长.薪资过低.健康状况不佳.安全措施不足等.过去几

使用 Salt + Hash 将密码加密后再存储进数据库_实用技巧

(一) 为什么要用哈希函数来加密密码 如果你需要保存密码(比如网站用户的密码),你要考虑如何保护这些密码数据,象下面那样直接将密码写入数据库中是极不安全的,因为任何可以打开数据库的人,都将可以直接看到这些密码. 解决的办法是将密码加密后再存储进数据库,比较常用的加密方法是使用哈希函数(Hash Function).哈希函数的具体定义,大家可以在网上或者相关书籍中查阅到,简单地说,它的特性如下: (1)原始密码经哈希函数计算后得到一个哈希值 (2)改变原始密码,哈希函数计算出的哈希值也会相应改变