FSA-2021-1: Fehlende Überprüfung von User Presence in Webauthn-Framework

Wissenschaftliche Mitarbeiter des Kompetenzzentrums IT-Sicherheit haben eine fehlende Prüfung in einer Bibliothek für FIDO2-Authentifizierung gefunden.

Eine fehlende Überprüfung in webauthn-framework erlaubt einem Angreifer mit Fernzugriff auf ein System, einen angeschlossenen FIDO-Authentikator für den Login bei einem verwundbaren Dienst zu nutzen ohne physisch den Knopf des Authentikators zu drücken. Der Schwachstelle wurde die Nummer CVE-2021-38299 zugewiesen. Version 3.3.4 von webauthn-framework behebt die Schwachstelle. Anwendungen sollten die aktualisierte Version der Bibliothek nutzen.

Der vollständige Bericht steht zum Download zur Verfügung (Englisch).