オープンソースの暗号化ドライブ作成ツール「VeraCrypt」v1.24に脆弱性

脆弱性対策情報データベース“JVN iPedia”のレポート（JVNDB-2019-013079）

　オープンソースの暗号化ドライブ作成ツール「VeraCrypt」v1.24-Update2が、12月16日に公開された。不具合やリグレッションの修正が中心のメンテナンスアップデートとなっている。

　修正点は多岐にわたるが、その多くは軽微なものだ。ただし、Windows版で権限管理の不備による脆弱性が1件（CVE-2019-19501）修正されているので、アップデートを怠らないようにしたい。

　脆弱性対策情報データベース“JVN iPedia”のレポート（JVNDB-2019-013079）によると、情報を盗み取られたり改竄される恐れがあるほか、サービス運用妨害（DoS）状態にされる可能性があるという。脆弱性の深刻度は“CVSS v3”の基本値で“7.8（重要）”、“CVSS v2”の基本値で“4.6（警告）”。

　「VeraCrypt」は、暗号化された仮想ディスクドライブを作成・マウントできるツール。2014年に突如開発が終了してしまった「TrueCrypt」の流れをくむツールで、USBフラッシュドライブやHDDを丸ごと暗号化したり、Windowsのシステムパーティション・ドライブを暗号化することもできる。Windows/Mac/Linuxなどに対応する寄付歓迎のフリーソフトで、現在本ソフトの公式サイトからダウンロード可能。