Yubico warnt vor DLL-Suchpfad-Lücke in YubiKey Manager und libfido2

KI-Zusammenfassung

Yubico hat am Mittwoch Sicherheitsupdates für YubiKey Manager 5.9.1, libfido2 1.17.0 und python-fido2 2.2.0 veröffentlicht. Die Lücke CVE-2026-40947 erlaubt Angreifern mit Schreibzugriff auf das Installationsverzeichnis die Ausführung von Schadcode über manipulierte DLL-Dateien. Die Schwachstelle betrifft Windows-Systeme, die LoadLibrary(TEXT("DLL_NAME")) ohne Einschränkung auf System32 nutzen. Yubico bewertet das Risiko als hoch (CVSS 7.0), MITRE als niedrig (CVSS 2.9). Die Korrektur erfolgt durch LoadLibraryExW mit LOAD_LIBRARY_SEARCH_SYSTEM32.