TrueCrypt权限提升的要求是什么？

Question

现在可以获得TrueCrypt 7.1a (扩展为CipherShed和VeraCrypt v1.15及更高版本)权限提升漏洞) CVE-2015-7358的详细信息，包括该漏洞的概念实现证明。

现在，由于我不太明白发生了什么，我想知道谁必须担心这件事。

需要在机器上安装TrueCrypt吗？执行用户是否需要管理员权限才能通过利用漏洞获得系统权限？一个人可以利用移动基础上的旅行者安装TrueCrypt？

Answer 1

该漏洞存在于计算机上有TrueCrypt或其中一个分叉是“共享”计算机的情况下。例如，假设您在受支持的Windows上安装了TrueCrypt 7.1a，创建了一个TrueCrypt卷，然后将其挂载。作为同一服务器上的另一个用户，Bob可能会检查该卷的配置和/或操作该卷的驱动器号。该漏洞似乎不会直接暴露卷中未加密的内容。我同意报告这一问题的人的观点，即如果您正在将TrueCrypt卷安装到与当前登录的其他用户(或实际上正在运行的任何不受信任的进程)的共享系统上，您还需要关注其他问题。

有关更多信息，请参见https://code.google.com/p/google-security-research/issues/detail?id=537