可泄露用户密码，Bitwarden 密码管理器浏览器扩展发现新漏洞

Kd.

IT 之家 3 月 11 日消息，根据安全机构 FlashPoint 官方博文，在密码管理器 Bitwarden 的浏览器扩展程序中发现了一个高危漏洞，可以泄露用户的密码信息。



恶意网站可以利用该漏洞，在受信任页面中嵌入 IFRAME 代码。用户访问这些恶意网站，并使用 Bitwarden 自动填充之后，就可以获取用户的凭证信息。

IT 之家从博文中获悉，导致这个漏洞的关键是 Bitwarden 以非典型方式处理网页中的嵌入式 iframe。

浏览器通过同源策略，分开 iframe 嵌入页面和父页面。也就是说，iframe 嵌入页面和父页面应该是互相隔离的状态，无法访问其内容。目前包括 Firefox、Chrome 等主要浏览器均采用了这个安全概念。



Bitwarden 浏览器扩展还在通过 iframe 嵌入来自其他域的第三方内容的页面上使用自动填充功能。通过 iframe 嵌入的网页无权访问父页面的内容。

但安全研究人员写道无需进一步的用户交互，该页面可以等待登录表单的输入，并将输入的凭据转发到远程服务器。

Bitwarden 文档确实包含一条警告，即 “受感染或不受信任的网站” 可能会利用此来窃取凭据。安全研究人员表示，如果网站本身受到威胁，扩展几乎无法阻止窃取凭据。

baitoje1235

oh no~~我正是一直使用这个密码管理器啊

我是风我是风

算了，还是本子记着比较安全

abenma

一直用的这个，希望尽快修复

metaverse

吓尿尔等

bb194910010

我是风我是风 发表于 2023-3-11 17:58
算了，还是本子记着比较安全

据xx媒体报道，用本子记录密码存在安全漏洞，有被盗风险。记者通过实战发现，本子存放场所一旦有他人进入，就可能存在被别人拿到本子的安全风险，所有密码都可能会被窃取。

我是风我是风

bb194910010 发表于 2023-3-12 06:29
据xx媒体报道，用本子记录密码存在安全漏洞，有被盗风险。记者通过实战发现，本子存放场所一旦有他人进入 ...

哈哈哈哈哈，这就没法了。那就把本子烧了，让老祖先给记着，回头要密码的时候让老祖先给自己托梦，这样就要安全多了，对吧

tao8023yy

我一个特平凡的人还需要怕黑客么？请大佬科普。

快乐宝贝

嗷！！！NO!!!!!
快修复啊！！！！！！！

帝辛

快乐宝贝 发表于 2023-3-12 10:59
嗷！！！NO!!!!!
快修复啊！！！！！！！

关了自动填充就行。