Yubico mới đây đã phát cảnh báo bảo mật YSA-2026-01, liên quan đến một số thành phần trong hệ sinh thái FIDO. Dù mức độ không quá nghiêm trọng, hãng vẫn khuyến nghị người dùng và doanh nghiệp nhanh chóng cập nhật để tránh rủi ro.
Lỗ hổng bảo mật được phát hiện trong các dự án mã nguồn mở gồm libfido2, python-fido2 và YubiKey Manager. Theo công bố của Yubico, vấn đề nằm ở cơ chế tìm kiếm thư viện trên Windows (DLL search path), có thể dẫn đến việc hệ thống tải nhầm file DLL không đáng tin cậy nếu bị khai thác trong môi trường cụ thể.
Dù được đánh giá ở mức thấp (CVSS khoảng 2,9/10), lỗ hổng này không hẳn là vô hại. Để khai thác, kẻ tấn công không thể khai thác từ xa một cách dễ dàng mà phải có sẵn quyền truy cập vào máy tính hoặc can thiệp được vào hệ thống. Ngoài ra, vấn đề cũng không nằm ở khóa bảo mật YubiKey, mà xuất phát từ cách phần mềm trên máy tính tải các file thư viện khi hoạt động.
Tuy nhiên, chính những lỗ hổng “nhỏ” như vậy lại dễ bị bỏ qua, đặc biệt trong môi trường doanh nghiệp hoặc các hệ thống chưa được cấu hình chặt chẽ. Vì vậy, dù rủi ro không cao, người dùng vẫn nên cập nhật bản vá sớm để tránh những kịch bản không mong muốn.
Yubico xác nhận các phiên bản bị ảnh hưởng bao gồm: libfido2 trước 1.17.0; python-fido2 trước 2.2.0; YubiKey Manager trước 5.9.1. Ngay lập tức, hãng đã phát hành các bản cập nhật để khắc phục lỗ hổng và xử lý triệt để vấn đề liên quan đến cơ chế tải thư viện trên Windows, giúp giảm thiểu nguy cơ bị khai thác trong các môi trường không an toàn.
Hãng cũng khuyến nghị người dùng cá nhân nên cập nhật YubiKey Manager lên phiên bản mới nhất, trong khi các tổ chức và doanh nghiệp cần chủ động rà soát hệ thống, triển khai bản vá càng sớm càng tốt để đảm bảo an toàn tổng thể.
Lỗ hổng này không phải là một lỗi quá nghiêm trọng, nhưng vẫn là lời nhắc rõ ràng rằng bảo mật không chỉ nằm ở thiết bị phần cứng như YubiKey, mà còn phụ thuộc vào toàn bộ phần mềm và cách hệ thống vận hành. Việc cập nhật kịp thời, dù với những rủi ro nhỏ, vẫn là yếu tố quan trọng giúp duy trì một lớp bảo vệ vững chắc trước các kịch bản tấn công ngày càng tinh vi.
