Yubikey FIDO2 çubuklarını yönetmeye yönelik Yubikey Manager yazılımı bir güvenlik açığı içeriyor. Bu, kötü niyetli aktörlerin sistemdeki haklarını genişletmelerine olanak tanır. Bir güncelleme güvenlik kusurunu kapatır.
Duyuru
Yubikey'nin bir güvenlik danışma belgesinde yazdığı gibi, Yubikey Manager GUI programını yönetici olarak çalıştıran Windows kullanıcıları, yönetici haklarıyla tarayıcı pencerelerini açmak için yöneticiyi kullanabilir. Yerel saldırganlar, yönetici ayrıcalıklarına sahip eylemler gerçekleştirmek için bunu kötüye kullanabilir (CVE-2024-31498, CVSS) 7.7“Risk”yüksek“). Bazı durumlarda, yönetim yazılımı sistemin standart tarayıcısını alt süreç olarak açar. Bu otomatik olarak gerçekleşmez ancak kullanıcı etkileşimi gerektirir.
Yubikey Yöneticisi: Yalnızca Windows'ta boşluk mu var?
Ancak Yubikey geliştiricileri, Microsoft Edge gibi bazı web tarayıcılarının yönetici olarak açılmasını engelleyen ek güvenlik önlemleri uyguladığını yazıyor. Olarak da bilinen Yubikey Manager GUI yazılımı etkilendi ykman-gui 1.2.6 sürümünden önce biliniyordu. Windows, FIDO kimlik doğrulayıcılarıyla etkileşimde bulunmak için yönetici haklarına ihtiyaç duyduğundan, sorun yalnızca Windows'u etkilemektedir. Diğer işletim sistemlerinde Yubikey Manager GUI'si yönetici haklarıyla başlatılmamalıdır. Bu nedenle macOS veya Linux kullanan kullanıcılar bunu kontrol etmeli ve onaylamalıdır.
Şirket, Yubikey cihazlarının güvenlik açığından etkilenmediğini açıklıyor. Yubikey Manager programının kullanıcıları, güncel sürümü Yubikey web sitesinden indirip yüklemelidir. Bu, yazılımdaki güvenlikle ilgili hataları düzeltir.
Yönetim yazılımı tüm FIDO2 anahtarları için kullanışlı değildir: bazı güvenlik anahtarları yönetilemez. Yakın zamanda ortaya çıktığı üzere Google'ın Titan güvenlik anahtarı, tek tek şifre anahtarlarını listelemeye veya silmeye yönelik hiçbir özellik sunmuyor. Yalnızca fabrika ayarlarına sıfırlama mümkündür, bu da kayıtlı tüm erişim anahtarlarının kaybolmasına neden olur.
(Bilmiyorum)
Haberin Sonu
Duyuru
Yubikey'nin bir güvenlik danışma belgesinde yazdığı gibi, Yubikey Manager GUI programını yönetici olarak çalıştıran Windows kullanıcıları, yönetici haklarıyla tarayıcı pencerelerini açmak için yöneticiyi kullanabilir. Yerel saldırganlar, yönetici ayrıcalıklarına sahip eylemler gerçekleştirmek için bunu kötüye kullanabilir (CVE-2024-31498, CVSS) 7.7“Risk”yüksek“). Bazı durumlarda, yönetim yazılımı sistemin standart tarayıcısını alt süreç olarak açar. Bu otomatik olarak gerçekleşmez ancak kullanıcı etkileşimi gerektirir.
Yubikey Yöneticisi: Yalnızca Windows'ta boşluk mu var?
Ancak Yubikey geliştiricileri, Microsoft Edge gibi bazı web tarayıcılarının yönetici olarak açılmasını engelleyen ek güvenlik önlemleri uyguladığını yazıyor. Olarak da bilinen Yubikey Manager GUI yazılımı etkilendi ykman-gui 1.2.6 sürümünden önce biliniyordu. Windows, FIDO kimlik doğrulayıcılarıyla etkileşimde bulunmak için yönetici haklarına ihtiyaç duyduğundan, sorun yalnızca Windows'u etkilemektedir. Diğer işletim sistemlerinde Yubikey Manager GUI'si yönetici haklarıyla başlatılmamalıdır. Bu nedenle macOS veya Linux kullanan kullanıcılar bunu kontrol etmeli ve onaylamalıdır.
Şirket, Yubikey cihazlarının güvenlik açığından etkilenmediğini açıklıyor. Yubikey Manager programının kullanıcıları, güncel sürümü Yubikey web sitesinden indirip yüklemelidir. Bu, yazılımdaki güvenlikle ilgili hataları düzeltir.
Yönetim yazılımı tüm FIDO2 anahtarları için kullanışlı değildir: bazı güvenlik anahtarları yönetilemez. Yakın zamanda ortaya çıktığı üzere Google'ın Titan güvenlik anahtarı, tek tek şifre anahtarlarını listelemeye veya silmeye yönelik hiçbir özellik sunmuyor. Yalnızca fabrika ayarlarına sıfırlama mümkündür, bu da kayıtlı tüm erişim anahtarlarının kaybolmasına neden olur.
(Bilmiyorum)
Haberin Sonu