Es wurde eine Sicherheitslücke in der Verwaltungssoftware der YubiKey-Sticks entdeckt. YubiKeys sind FIDO2-Stick von der Firma Yubico. Eine Sicherheitslücke innerhalb der YubiKey-Manager-Software ermöglicht es Angreifern ihre Rechte auszuweiten.

In der Sicherheitsmitteilung schreibt Yubico, dass insbesondere Windows-Nutzer, die das Programm als Administrator ausführen betroffen sind. Dort können lokale Angreifer die Rechte missbrauchen und eine Aktion mit Admin-Rechten ausführen CVE-2024-31498, CVSS 7.7, Risiko "hoch").

Das Problem betrifft jedoch nur Windows-Nutzer, da Windows administrative Rechte zur Interaktion mit FIDO-Authenticatoren verlangt. Unter anderen Betriebssystemen sollte die YubiKey Manager GUI schlicht nicht mit Admin-Rechten ausgeführt werden.

(jl, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE