YubiKey Software: DLL-Lücke

Yubico hat eine Sicherheitslücke in mehreren Software-Komponenten veröffentlicht. Die Schwachstelle betrifft die DLL-Suchpfad-Handhabung unter Windows und ermöglicht Angreifern die Ausführung von Schadcode.

Betroffene Software

• libfido2 (vor Version 1.17.0)
• python-fido2 (vor Version 2.2.0)
• YubiKey Manager (vor Version 5.9.1)

Wichtig: Keine YubiKey-Hardware ist betroffen. Die Lücke betrifft ausschließlich die Software-Komponenten auf Windows-Systemen.

Was ist das Problem?

Die betroffenen Programme laden DLL-Dateien ohne ausreichende Pfad-Einschränkung. Wenn ein Angreifer eine bösartige DLL im selben Verzeichnis wie die Software platziert, wird diese beim Start geladen und ausgeführt.

CVSS Score: 7.0 (Hoch)

Was ist zu tun?

• libfido2 auf Version 1.17.0 oder höher aktualisieren
• python-fido2 auf Version 2.2.0 oder höher aktualisieren
• YubiKey Manager auf Version 5.9.1 oder höher aktualisieren

Version prüfen:

• libfido2: fido2-token -V
• python-fido2: pip show fido2
• YubiKey Manager: ykman -v

Fazit

Die Lücke erfordert, dass ein Angreifer bereits Dateien im Installationsverzeichnis ablegen kann. Systeme mit ordnungsgemäßen Berechtigungen sind daher weniger gefährdet. Trotzdem sollten betroffene Nutzer schnellstmöglich aktualisieren.

Quellen und weiterführende Informationen 📚

• Yubico Security Advisory YSA-2026-01
• NVD: CVE-2026-40947