查看: 4353|回复: 11
收起左侧

[软件相关] 可泄露用户密码,Bitwarden 密码管理器浏览器扩展发现新漏洞

[复制链接]
Kd.
发表于 2023-3-11 11:45:24 | 显示全部楼层 |阅读模式
IT 之家 3 月 11 日消息,根据安全机构 FlashPoint 官方博文,在密码管理器 Bitwarden 的浏览器扩展程序中发现了一个高危漏洞,可以泄露用户的密码信息

1.jpg

恶意网站可以利用该漏洞,在受信任页面中嵌入 IFRAME 代码。用户访问这些恶意网站,并使用 Bitwarden 自动填充之后,就可以获取用户的凭证信息。

IT 之家从博文中获悉,导致这个漏洞的关键是 Bitwarden 以非典型方式处理网页中的嵌入式 iframe。

浏览器通过同源策略,分开 iframe 嵌入页面和父页面。也就是说,iframe 嵌入页面和父页面应该是互相隔离的状态,无法访问其内容。目前包括 Firefox、Chrome 等主要浏览器均采用了这个安全概念。

2.jpg

Bitwarden 浏览器扩展还在通过 iframe 嵌入来自其他域的第三方内容的页面上使用自动填充功能。通过 iframe 嵌入的网页无权访问父页面的内容。

但安全研究人员写道无需进一步的用户交互,该页面可以等待登录表单的输入,并将输入的凭据转发到远程服务器。

Bitwarden 文档确实包含一条警告,即 “受感染或不受信任的网站” 可能会利用此来窃取凭据。安全研究人员表示,如果网站本身受到威胁,扩展几乎无法阻止窃取凭据。

评分

参与人数 1经验 +11 收起 理由
Tarchia + 11

查看全部评分

baitoje1235
发表于 2023-3-11 15:15:36 | 显示全部楼层
oh no~~我正是一直使用这个密码管理器啊
我是风我是风
发表于 2023-3-11 17:58:24 | 显示全部楼层
算了,还是本子记着比较安全
abenma
发表于 2023-3-11 21:09:48 | 显示全部楼层
一直用的这个,希望尽快修复
metaverse
发表于 2023-3-11 22:45:52 | 显示全部楼层
吓尿尔等
bb194910010
发表于 2023-3-12 06:29:13 来自手机 | 显示全部楼层
我是风我是风 发表于 2023-3-11 17:58
算了,还是本子记着比较安全

据xx媒体报道,用本子记录密码存在安全漏洞,有被盗风险。记者通过实战发现,本子存放场所一旦有他人进入,就可能存在被别人拿到本子的安全风险,所有密码都可能会被窃取。
我是风我是风
发表于 2023-3-12 06:50:30 | 显示全部楼层
bb194910010 发表于 2023-3-12 06:29
据xx媒体报道,用本子记录密码存在安全漏洞,有被盗风险。记者通过实战发现,本子存放场所一旦有他人进入 ...

哈哈哈哈哈,这就没法了。那就把本子烧了,让老祖先给记着,回头要密码的时候让老祖先给自己托梦,这样就要安全多了,对吧
tao8023yy
发表于 2023-3-12 08:09:33 来自手机 | 显示全部楼层
我一个特平凡的人还需要怕黑客么?请大佬科普。
快乐宝贝
发表于 2023-3-12 10:59:58 | 显示全部楼层
嗷!!!NO!!!!!
快修复啊!!!!!!!
帝辛
发表于 2023-3-13 15:25:29 | 显示全部楼层
快乐宝贝 发表于 2023-3-12 10:59
嗷!!!NO!!!!!
快修复啊!!!!!!!

关了自动填充就行。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 12:04 , Processed in 0.121330 second(s), 21 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表