heise PlusAbo
Anzeige
Alert!

YubiKey Manager: Sicherheitslücke ermöglicht Ausführung untergeschobenen Codes

Yubico warnt vor einer Suchpfad-Schwachstelle im YubiKey Manager, libfido2 und python-fido2. Updates korrigieren die Fehler.

vorlesen Druckansicht 2 Kommentare lesen
Zwei-Faktor-FIDO2-Abfrage im Browser auf Laptop vor Matrix-Regen-Hintergrund

(Bild: heise medien /Yubico)

Lesezeit: 2 Min.
Security
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Eine Schwachstelle in YubiKey Manager, libfido2 und python-fido2 ermöglicht Angreifern, der Software Schadcode unterzuschieben. Yubico stellt aktualisierte Softwarepakete bereit, die die Lücken stopfen sollen.

Davor warnt Yubico in einer Sicherheitsmitteilung. Für die Open-Source-Projekte YubiKey Manager, libfido2 sowie python-fido2 stehen seit Mittwoch dieser Woche aktualisierte Quellen respektive Installer bereit. Sie schließen alle Schwachstellen, die unter Windows aufgrund eines Problems mit dem DLL-Suchpfad auftreten können. Haben Angreifer die Möglichkeit, Dateien im Installationsverzeichnis der betroffenen Software abzulegen, können sie dadurch eigenen Code zur Ausführung bringen.

Die verwundbare Software nutzt die Funktionen LoadLibrary(TEXT("DLL_NAME")), was den Suchpfad nicht auf das System32-Verzeichnis beschränkt. Durch die Nutzung von LoadLibraryExW(L"DLL_NAME", NULL, LOAD_LIBRARY_SEARCH_SYSTEM32) respektive WinDLL("DLL_NAME", winmode=LOAD_LIBRARY_SEARCH_SYSTEM32) korrigieren die Yubico-Entwickler den sicherheitsrelevanten Fehler jedoch. Wenn die betroffene Software mit Administratorrechten auf den Verzeichnissen geschützt ist, würden Angreifer ebenfalls diese Zugriffsrechte benötigen, schränkt Yubico jedoch ein (CVE-2026-40947, CVSS 7.0, Risiko „hoch“). Abweichend von Yubicos Einschätzung stuft MITRE die Lücke lediglich als niedriges Risiko ein (CVSS 2.9, Risiko „niedrig“).

Aktualisierte Software schützt

Yubico empfiehlt Nutzern und Nutzerinnen, auf die fehlerkorrigierten Versionen zu aktualisieren: libfido2 1.17.0, python-fido2 2.2.0 sowie yubikey-manager 5.9.1. Entwickler, die die verwundbaren Bibliotheken in ihren Apps verwenden, sollten die Microsoft-Hinweise zum Schutz vor DLL-Preloading-Angriffen nachvollziehen, um ihre Software vor diesen Arten von Angriffen zu schützen.

Videos by heise

Vor rund zwei Jahren hatte Yubico bereits eine Sicherheitslücke in YubiKey Manager geschlossen, die Angreifern die Ausweitung ihrer Rechte im System ermöglichte. Im September 2024 erlangte ein Cloning-Angriff über einen Seitenkanal in der Firmware von Yubikey-Hardware Bekanntheit. Er hat den Namen EUCLEAK erhalten.

(dmk)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten