YubiKey Manager, libfido2 ve python-fido2'deki bir güvenlik açığı, saldırganların yazılıma kötü amaçlı kod eklemesine olanak tanıyor. Yubico, boşlukları doldurmayı amaçlayan güncellenmiş yazılım paketleri sağlar.
Duyurudan sonra devamını okuyun
Yubico bunu bir güvenlik duyurusunda uyarıyor. YubiKey Manager, libfido2 ve python-fido2 açık kaynak projeleri için güncellenmiş kaynaklar ve yükleyiciler bu hafta Çarşamba itibarıyla kullanıma sunuldu. DLL arama yolundaki bir sorun nedeniyle Windows'ta oluşabilecek tüm güvenlik açıklarını kapatırlar. Saldırganların etkilenen yazılımın kurulum dizininde dosya saklama olanağı varsa kendi kodlarını çalıştırabilirler.
Savunmasız yazılım işlevleri kullanıyor LoadLibrary(TEXT("DLL_NAME"))bu, arama yolunu System32 dizinine sınırlamaz. Kullanma LoadLibraryExW(L"DLL_NAME", NULL, LOAD_LIBRARY_SEARCH_SYSTEM32) sırasıyla WinDLL("DLL_NAME", winmode=LOAD_LIBRARY_SEARCH_SYSTEM32) Ancak Yubico geliştiricileri güvenlikle ilgili hatayı düzeltti. Etkilenen yazılım, dizinlerdeki yönetici haklarıyla korunsaydı saldırganların da bu erişim haklarına ihtiyacı olurdu, ancak Yubico bunu sınırlandırıyor (CVE-2026-40947, CVSS) 7.0risk”yüksek“). Yubico'nun değerlendirmesinin aksine MITRE, açığı yalnızca düşük risk olarak sınıflandırıyor (CVSS) 2.9risk”Bas“).
Güncellenen yazılım korur
Yubico, kullanıcıların hata giderilen sürümlere güncelleme yapmasını önerir: libfido2 1.17.0, python-fido2 2.2.0 ve yubikey-manager 5.9.1. Uygulamalarında güvenlik açığı bulunan kitaplıkları kullanan geliştiriciler, yazılımlarını bu tür saldırılara karşı korumak için Microsoft'un DLL Önceden Yükleme Saldırıları önerilerini incelemelidir.
Yaklaşık iki yıl önce Yubico, YubiKey Manager'da saldırganların sistemdeki haklarını genişletmesine olanak tanıyan bir güvenlik açığını kapatmıştı. Eylül 2024'te Yubikey donanım yazılımındaki bir yan kanal aracılığıyla bir klonlama saldırısı yapıldığı öğrenildi. Ona EUCLEAK adı verildi.
(Bilmiyorum)
Bir yanıt yazın