安全公告 YSA-2026-01 漏洞概述 Yubico 发布了安全更新,修复了 Windows 系统上的 DLL 搜索路径漏洞。攻击者若在受影响软件或 Python 的安装目录中放置恶意文件,即可实现代码执行。若软件安装在受管理员权限保护的目录中,攻击者需具备相应权限才能执行此攻击。 影响范围 libfido2: 2.2.0 之前的版本 python-fido2: 2.2.0 之前的版本 YubiKey Manager: 5.9.1 之前的版本 硬件: 无影响(所有 YubiKey 系列硬件均不受影响) 修复方案 Yubico 建议受影响客户将上述库更新到最新版本。对于集成这些库的应用程序,建议遵循 Microsoft 指南 设置安装位置,以进一步防范此类攻击。 技术细节 libfido2: 之前使用 加载 DLL,未限制搜索路径至 System32。现已更新为使用 并设置 标志。 python-fido2 和 YubiKey Manager: 之前加载 DLL 时未正确约束搜索路径。现已更新为使用 。 严重性 评级: 高 CVSS 评分: 7.0 时间线 2026年3月21日: Donjon Cerberus 团队通知 Yubico libfido2 中的问题。 2026年3月27日: Yubico 确认其他受影响项目:python-fido2 和 YubiKey Manager。 2026年4月15日: Yubico 发布安全公告 YSA-2026-01。 如何检测是否受影响 libfido2: 运行 python-fido2: 运行 YubiKey Manager: 运行