FIDO硬件YubiKey的配套软件存在提权漏洞 请用户尽快更新到最新版

由 Yubico 公司生产的 FIDO 硬件密钥 YubiKey 一直深受欢迎，这种硬件可以替代传统的验证码或 2FA 验证码，在执行登录操作时，需要手动触碰密钥才能完成验证，因此可以提高安全性。

在 Windows 上 Yubico 提供 YubiKeyu Manager GUI 配套软件，该软件可以用来管理一个或多个 YubiKey，不过日前该配套软件被发现存在安全漏洞。

要在 Windows 上使用该软件，由于微软施加的限制，启动软件时必须使用管理员权限，而该软件启动时也会启动系统默认浏览器并且也继承管理员权限。

这个安全问题会导致本地攻击者可以利用该软件进行提权，可以利用管理员权限执行某些恶意操作，因此使用该软件的用户需要尽快升级至修复后的版本。

影响以下产品组合：

• 操作系统：Microsoft Windows (macOS、Linux 版均不受影响)
• 软件：YubiKey Manager GUI 低于 1.2.6 版
• 默认浏览器：非 Microsoft Edge 浏览器

由于 Microsoft Edge 浏览器内置了一些缓解措施因此可以降低风险，如果用户的默认浏览器是 Chrome 或 Firefox 则风险会增加，需要更新配套软件。

用户可以在 Yubico 官网或 GitHub 下载 YubiKey Manager GUI 1.2.6 版，更新到此版本后即可正常使用。

注意：对大多数用户来说该配套软件不是必要的，如果不需要使用该软件那就不需要安装。

文章来源：https://www.landiannews.com/archives/103207.html