Компания Yubico, разработчик популярных устройств для аутентификации YubiKey, предупредилапользователей Windows о серьёзной уязвимости в своём программном обеспечении. Согласно официальному сообщению компании, уязвимость может привести к повышению привилегий на компьютере пользователя.
Обнаруженная проблема касается программы YubiKey Manager и отслеживается под идентификатором CVE-2024-31498.Оценка по шкале CVSS составляет 7.7 балла, что свидетельствует о довольно высоком уровне риска.
Уязвимость проявляется, когда пользователь запускает графический интерфейс YubiKey Manager с правами администратора. В таком случае окна браузера, открываемые этой программой, также наследуют эти привилегии, что может быть использовано злоумышленником для выполнения действий от имени администратора и значительно увеличить потенциальные возможности для атаки.
Проблема затрагивает только пользователей Windows, не использующих браузер Microsoft Edge по умолчанию. Как указывает Yubico, уязвимость связана с требованиями ОС Windows к правам администратора для взаимодействия с аутентификаторами FIDO, к которым относится и YubiKey.
Для проверки версии YubiKey Manager пользователи могут открыть меню “О программе” в самом приложении. Всем, кто использует версии до 1.2.6, следует незамедлительно обновить программное обеспечение. Последняя версия с внедрённым исправлением доступна на сайте Yubicoи на GitHub.
В дополнение к обновлению программы Yubico рекомендует пользователям не запускать YubiKey Manager с правами администратора, если нет необходимости в использовании функций FIDO. Это позволит избежать ненужного риска повышения привилегий при использовании программы.
Альтернативным временным решением проблемы станет установка Microsoft Edge в качестве основного браузера, что может помочь предотвратить наследование административных привилегий, как это происходит в случае со сторонними браузерами. Тем не менее, компания подчёркивает, что оптимальным решением по-прежнему является обновление программного обеспечения до безопасной версии.
Данный инцидент безопасности является для Yubico уже вторым за последние три года. Обнаружение и своевременное реагирование на такие уязвимости помогает защитить личные данные пользователей от возможных атак.