FIDO硬件YubiKey的配套软件存在提权漏洞 请用户尽快更新到最新版 – 蓝点网

由 Yubico 公司生产的硬件用户 FIDO 硬件密钥 YubiKey 一直深受欢迎，这种硬件可以替代传统的的洞请到最验证码或 2FA 验证码，在执行登录操作时，配套需要手动触碰密钥才能完成验证，软件因此可以提高安全性。存提

在 Windows 上 Yubico 提供 YubiKeyu Manager GUI 配套软件，权漏该软件可以用来管理一个或多个 YubiKey，尽快不过日前该配套软件被发现存在安全漏洞。更新

要在 Windows 上使用该软件，由于微软施加的蓝点限制，启动软件时必须使用管理员权限，硬件用户而该软件启动时也会启动系统默认浏览器并且也继承管理员权限。的洞请到最

这个安全问题会导致本地攻击者可以利用该软件进行提权，配套可以利用管理员权限执行某些恶意操作，软件因此使用该软件的存提用户需要尽快升级至修复后的版本。

影响以下产品组合：

• 操作系统：Microsoft Windows (macOS、Linux 版均不受影响)
• 软件：YubiKey Manager GUI 低于 1.2.6 版
• 默认浏览器：非 Microsoft Edge 浏览器

由于 Microsoft Edge 浏览器内置了一些缓解措施因此可以降低风险，如果用户的默认浏览器是 Chrome 或 Firefox 则风险会增加，需要更新配套软件。

用户可以在 Yubico 官网或 GitHub 下载 YubiKey Manager GUI 1.2.6 版，更新到此版本后即可正常使用。

注意：对大多数用户来说该配套软件不是必要的，如果不需要使用该软件那就不需要安装。

本文地址：http://8824862.shgenru.com/news/143b89998957.html