由 Yubico 公司生產(chǎn)的硬件用戶 FIDO 硬件密鑰 YubiKey 一直深受歡迎，這種硬件可以替代傳統(tǒng)的的洞請(qǐng)到最驗(yàn)證碼或 2FA 驗(yàn)證碼，在執(zhí)行登錄操作時(shí)，配套需要手動(dòng)觸碰密鑰才能完成驗(yàn)證，軟件因此可以提高安全性。存提

在 Windows 上 Yubico 提供 YubiKeyu Manager GUI 配套軟件，權(quán)漏該軟件可以用來管理一個(gè)或多個(gè) YubiKey，盡快不過日前該配套軟件被發(fā)現(xiàn)存在安全漏洞。更新

要在 Windows 上使用該軟件，由于微軟施加的藍(lán)點(diǎn)限制，啟動(dòng)軟件時(shí)必須使用管理員權(quán)限，硬件用戶而該軟件啟動(dòng)時(shí)也會(huì)啟動(dòng)系統(tǒng)默認(rèn)瀏覽器并且也繼承管理員權(quán)限。的洞請(qǐng)到最

這個(gè)安全問題會(huì)導(dǎo)致本地攻擊者可以利用該軟件進(jìn)行提權(quán)，配套可以利用管理員權(quán)限執(zhí)行某些惡意操作，軟件因此使用該軟件的存提用戶需要盡快升級(jí)至修復(fù)后的版本。

影響以下產(chǎn)品組合：

• 操作系統(tǒng)：Microsoft Windows (macOS、Linux 版均不受影響)
• 軟件：YubiKey Manager GUI 低于 1.2.6 版
• 默認(rèn)瀏覽器：非 Microsoft Edge 瀏覽器

由于 Microsoft Edge 瀏覽器內(nèi)置了一些緩解措施因此可以降低風(fēng)險(xiǎn)，如果用戶的默認(rèn)瀏覽器是 Chrome 或 Firefox 則風(fēng)險(xiǎn)會(huì)增加，需要更新配套軟件。

用戶可以在 Yubico 官網(wǎng)或 GitHub 下載 YubiKey Manager GUI 1.2.6 版，更新到此版本后即可正常使用。

注意：對(duì)大多數(shù)用戶來說該配套軟件不是必要的，如果不需要使用該軟件那就不需要安裝。