YubiKey Manager, libfido2 ve python-fido2'deki bir güvenlik açığı, saldırganların yazılıma kötü amaçlı kod eklemesine olanak tanıyor. Yubico, boşlukları doldurmayı amaçlayan güncellenmiş yazılım paketleri sağlar.
Reklamdan sonra devamını okuyun
Yubico bir güvenlik duyurusunda bu konuda uyarıyor. YubiKey Manager, libfido2 ve python-fido2 açık kaynak projeleri için bu hafta Çarşamba gününden bu yana güncellenmiş kaynaklar ve yükleyiciler kullanıma sunuldu. DLL arama yolundaki bir sorun nedeniyle Windows'ta oluşabilecek tüm güvenlik açıklarını kapatırlar. Saldırganların etkilenen yazılımın kurulum dizininde dosya saklama imkanı varsa kendi kodlarını çalıştırabilirler.
Güvenlik açığı bulunan yazılım aşağıdaki işlevleri kullanır: LoadLibrary(TEXT("DLL_NAME"))bu, arama yolunu System32 dizinine sınırlamaz. Kullanarak LoadLibraryExW(L"DLL_NAME", NULL, LOAD_LIBRARY_SEARCH_SYSTEM32) sırasıyla WinDLL("DLL_NAME", winmode=LOAD_LIBRARY_SEARCH_SYSTEM32) Ancak Yubico geliştiricileri güvenlikle ilgili hatayı düzeltti. Etkilenen yazılım, dizinlerdeki yönetici haklarıyla korunuyorsa saldırganların da bu erişim haklarına ihtiyacı olacaktır ancak Yubico bunu sınırlandırmaktadır (CVE-2026-40947, CVSS 7.0risk”yüksek“). Yubico'nun değerlendirmesinin aksine MITRE, açığı yalnızca düşük risk olarak sınıflandırıyor (CVSS) 2.9risk”Düşük“).
Güncellenen yazılım korur
Yubico, kullanıcıların hata düzeltilmiş sürümlere güncelleme yapmasını önerir: libfido2 1.17.0, python-fido2 2.2.0 ve yubikey-manager 5.9.1. Uygulamalarında güvenlik açığı bulunan kitaplıkları kullanan geliştiriciler, yazılımlarını bu tür saldırılara karşı korumak için Microsoft'un DLL Ön Yükleme Saldırısı Önerisi'ni incelemelidir.
Yaklaşık iki yıl önce Yubico, YubiKey Manager'da saldırganların sistemdeki haklarını genişletmesine olanak tanıyan bir güvenlik açığını kapatmıştı. Eylül 2024'te Yubikey donanımının donanım yazılımındaki bir yan kanal aracılığıyla bir klonlama saldırısı yapıldığı öğrenildi. Ona EUCLEAK adı verildi.
(DMK)
Bir yanıt yazın