【安全圈】可泄露用户密码,Bitwarden 密码管理器浏览器扩展发现新漏洞
【安全圈】可泄露用户密码,Bitwarden 密码管理器浏览器扩展发现新漏洞
安全圈 2023-03-12 19:00
关键词
泄露密码
3 月 11 日消息,根据安全机构 FlashPoint 官方博文,
在密码管理器 Bitwarden 的浏览器扩展程序中发现了一个高危漏洞,可以泄露用户的密码信息。
恶意网站可以利用该漏洞,在受信任页面中嵌入 IFRAME 代码。用户访问这些恶意网站,并使用 Bitwarden 自动填充之后,就可以获取用户的凭证信息。
IT之家从博文中获悉,导致这个漏洞的关键是 Bitwarden 以非典型方式处理网页中的嵌入式 iframe。
浏览器通过同源策略,分开 iframe 嵌入页面和父页面。也就是说,iframe 嵌入页面和父页面应该是互相隔离的状态,无法访问其内容。目前包括 Firefox、Chrome 等主要浏览器均采用了这个安全概念。
Bitwarden 浏览器扩展还在通过 iframe 嵌入来自其他域的第三方内容的页面上使用自动填充功能。通过 iframe 嵌入的网页无权访问父页面的内容。
但安全研究人员写道无需进一步的用户交互,该页面可以等待登录表单的输入,并将输入的凭据转发到远程服务器。
Bitwarden 文档确实包含一条警告,即“受感染或不受信任的网站”可能会利用此来窃取凭据。安全研究人员表示,如果网站本身受到威胁,扩展几乎无法阻止窃取凭据。
END
阅读推荐
【安全圈】可绕过 UAC,微软 Win10 / Win11 系统中发现高危漏洞:可安装执行恶意软件
【安全圈】已对 Linux 服务器发起攻击,针对 Win10 / Win11 的勒索软件 IceFire 出现新变种
【安全圈】被指与谷歌形成“双头垄断”,苹果辩称英国监管机构已无权发起调查
安全圈
←扫码关注我们
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!