Yubico’nun YubiKey 5 serisi ve YubiHSM 2 cihazlarında kullanılan Infineon’un kriptografik kütüphanesinde bir güvenlik açığı keşfedildi. Bu açık, özellikle cihaz yazılımı 5.7.0’dan öncesi YubiKey ve 2.4.0’dan öncesi YubiHSM cihazlarını etkiliyor.
Bu açık, fiziksel olarak cihazın ele geçirilmesi ve özel ekipman kullanılması durumunda, saldırganların private key’leri ele geçirebilmesine izin veriyor. Özellikle FIDO standartlarını kullanan sistemler bu durumdan etkilenebilir.
Yubico, bu tür saldırıların önüne geçmek için cihazlarının kriptografik kütüphanesini yenileyerek Infineon’un kütüphanesine olan bağımlılığı kaldırdı. Ayrıca, kullanıcıların cihazlarının güncel yazılım sürümünde olduğundan emin olmaları gerektiği belirtiliyor.
Etkilenmeyen Cihazlar:
- YubiKey 5 Series version 5.7.0 and newer
- YubiKey 5 FIPS Series 5.7 and newer (FIPS submission in process)
- YubiKey Bio Series versions 5.7.2 and newer
- Security Key Series versions 5.7.0 and newer
- YubiHSM 2 versions 2.4.0 and newer
- YubiHSM 2 FIPS versions 2.4.0 and newer
Etkilenen Cihazlar:
- YubiKey 5 Series versions prior to 5.7
- YubiKey 5 FIPS Series prior to 5.7
- YubiKey 5 CSPN Series prior to 5.7
- YubiKey Bio Series versions prior to 5.7.2
- Security Key Series all versions prior to 5.7
- YubiHSM 2 versions prior to 2.4.0
- YubiHSM 2 FIPS versions prior to 2.4.0