FEHLER!

Yubico schließt Sicherheitslücke: Update für YubiKey und Open-Source-Komponenten

Yubico, ein Anbieter von Hardware-Sicherheitstokens wie dem YubiKey, hat eine Sicherheitslücke in verschiedenen Open-Source-Komponenten seiner Produktpalette adressiert. Betroffen sind die Softwareprogramme YubiKey Manager, libfido2 sowie python-fido2. Diese Schwachstelle, die durch ein Problem im DLL-Suchpfad auf Windows-Systemen entsteht, ermöglicht Angreifern unter bestimmten Umständen die Ausführung ihres eigenen Codes innerhalb der Anwendungsumgebung. Die Sicherheitslücke resultiert aus der Funktionsweise von codeLoadLibrary(TEXT(DLL_NAME)), welche den Suchpfad für externe Bibliotheken nicht auf das System32-Verzeichnis beschränkt. Dadurch können Angreifer, wenn ihnen Zugriff auf das Installationsverzeichnis der Software möglich ist, eigene Dateien einfügen und deren Ausführung durch die betroffene Anwendung erzwingen. Um dieses Risiko zu entschärfen, haben Yubico-Entwickler die entsprechenden Funktionen in den aktuellen Versionen modifiziert. Anstelle von codeLoadLibrary(TEXT(DLL_NAME)) wird nun entweder codeLoadLibraryExW(L DLL_NAME, NULL, LOAD_LIBRARY_SEARCH_SYSTEM32) oder codeWinDLL(DLL_NAME, winmodeLOAD_LIBRARY_SEARCH_SYSTEM32) verwendet. Diese Änderungen beschränken den Suchpfad explizit auf das System32-Verzeichnis, wodurch die Möglichkeit der Schadcode-Einführung eliminiert wird.

Obwohl Yubico die Schwachstelle als hochriskant (CVSS 7.5) eingestuft hat, hebt Microsoft in seinen Sicherheitshinweisen hervor, dass ein erfolgreicher Angriff nur unter bestimmten Voraussetzungen möglich ist, nämlich wenn Angreifer direkten Zugriff auf das Installationsverzeichnis der betroffenen Software haben. Dennoch betont Yubico die Bedeutung des Updates für alle Nutzer, da es ein effizientes Mittel zur Abwehr dieses potenziellen Angriffsvektors darstellt. Die aktualisierten Versionen sind libfido2 1.17.0, python-fido2 2.2.0 und yubikey-manager 5.9.1.

Darüber hinaus empfiehlt Yubico Entwicklern, die diese Bibliotheken in ihren Anwendungen einbinden, Sicherheitsmaßnahmen wie das Verhindern von DLL-Preloading-Angriffen durchzusetzen, um ihre Software umfassend zu schützen. Diesem Update geht eine Reihe weiterer Sicherheitsvorfälle im Zusammenhang mit YubiKey und seinen zugehörigen Komponenten voraus, darunter eine zuvor behobene Rechteausweitungssicherheit in YubiKey Manager sowie der kürzlich gewordene Cloning-Angriff EUCLEAK auf die Firmware der Hardware. Diese kontinuierlichen Bemühungen zur Adressierung von Sicherheitslücken unterstreichen das Engagement von Yubico für die Sicherheit und Zuverlässigkeit seiner Produkte.

Schlagwörter: Yubico + YubiKey + DLL

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 17. April 2026