可暴露用户密码,Bitwarden密码管理器浏览器扩展发现新漏洞
发布时间:2023-06-08 10:47:45 所属栏目:安全 来源:
导读:根据安全部门 FlashPoint 官方博文,在密码服务器 Bitwarden 的浏览器扩展程序中找到了一个安全漏洞,可以泄露用户的密码信息。
恶意网站可以利用该漏洞,在受信任页面中嵌入 IFRAME 代码。用户访问这些恶意网站
恶意网站可以利用该漏洞,在受信任页面中嵌入 IFRAME 代码。用户访问这些恶意网站
|
根据安全部门 FlashPoint 官方博文,在密码服务器 Bitwarden 的浏览器扩展程序中找到了一个安全漏洞,可以泄露用户的密码信息。 恶意网站可以利用该漏洞,在受信任页面中嵌入 IFRAME 代码。用户访问这些恶意网站,并使用 Bitwarden 自动填充之后,就可以获取用户的凭证信息。 从博文中获悉,导致这个漏洞的关键是 Bitwarden 以非典型方式处理网页中的嵌入式 iframe。 浏览器通过同源策略,分开 iframe 嵌入页面和父页面。也就是说,iframe 嵌入页面和父页面应该是互相隔离的状态,无法访问其内容。实际上目前市面上包括 流行的Firefox、Chrome 等主要浏览器均不约而同地采用了这个全新的安全概念。 Bitwarden 浏览器扩展还在通过 iframe 嵌入来自其他区域的第三方内容的页面上使用自动填充功能。通过 iframe 嵌入的网页无权访问父页面的内容。 但安全研究人员写道,无需进一步的用户交互,该页面可以等待登录表单的输入,并将输入的凭据转发到远程服务器。 Bitwarden 文档确实包含一条警告,即“受感染或不受信任的网站”可能会利用此来窃取凭据。安全研究人员表示,如果网站本身受到威胁,扩展几乎无法阻止窃取凭据。这意味着,即使用户没有访问该网站,也可能会被黑客入侵。此外,黑客还可能通过其他方式获取敏感数据,包括个人信息、商业机密等。“ (编辑:聊城站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐
