可泄露用户密码,Bitwarden密码管理器浏览器扩展发现新漏洞

安全 漏洞
根据安全机构 FlashPoint 官方博文,在密码管理器 Bitwarden 的浏览器扩展程序中发现了一个高危漏洞,可以泄露用户的密码信息。

根据安全机构 FlashPoint 官方博文,在密码管理器 Bitwarden 的浏览器扩展程序中发现了一个高危漏洞,可以泄露用户的密码信息。

恶意网站可以利用该漏洞,在受信任页面中嵌入 IFRAME 代码。用户访问这些恶意网站,并使用 Bitwarden 自动填充之后,就可以获取用户的凭证信息。

IT之家从博文中获悉,导致这个漏洞的关键是 Bitwarden 以非典型方式处理网页中的嵌入式 iframe。

浏览器通过同源策略,分开 iframe 嵌入页面和父页面。也就是说,iframe 嵌入页面和父页面应该是互相隔离的状态,无法访问其内容。目前包括 Firefox、Chrome 等主要浏览器均采用了这个安全概念。

Bitwarden 浏览器扩展还在通过 iframe 嵌入来自其他域的第三方内容的页面上使用自动填充功能。通过 iframe 嵌入的网页无权访问父页面的内容。

但安全研究人员写道无需进一步的用户交互,该页面可以等待登录表单的输入,并将输入的凭据转发到远程服务器。

Bitwarden 文档确实包含一条警告,即“受感染或不受信任的网站”可能会利用此来窃取凭据。安全研究人员表示,如果网站本身受到威胁,扩展几乎无法阻止窃取凭据。

责任编辑:华轩 来源: 今日头条
相关推荐

2020-04-15 19:31:59

Bitwarden开源密码管理器

2021-07-27 10:15:57

浏览器NPM包Chrome web

2011-05-26 12:25:18

2022-01-17 12:46:05

API漏洞应用程序安全

2023-10-22 08:44:06

2023-07-13 07:07:17

2021-05-23 15:57:08

微软Edge浏览器

2018-03-05 10:18:44

Linux密码密码管理器

2016-08-31 14:16:53

2016-03-10 09:56:41

2021-12-30 21:50:01

Redline密码管理浏览器

2021-07-09 13:55:27

密码管理器密码数据安全

2017-11-08 10:05:17

2013-07-25 14:17:17

2023-05-18 14:35:24

2016-08-10 10:49:44

LinuxKeeweb密码管理器

2013-11-08 09:10:23

2021-01-03 18:25:46

微软Edge浏览器

2021-01-27 11:01:21

密码保护工具微软浏览器

2013-11-05 13:35:55

搜狗浏览器数据泄露
点赞
收藏

51CTO技术栈公众号