網(wǎng)絡(luò)消費網(wǎng) >  科技 > > 正文
天天資訊:可泄露用戶密碼 Bitwarden密碼管理器瀏覽器擴展發(fā)現(xiàn)新漏洞
時間:2023-03-11 10:24:32


【資料圖】

IT之家 3 月 11 日消息,根據(jù)安全機構(gòu) FlashPoint 官方博文,在密碼管理器 Bitwarden 的瀏覽器擴展程序中發(fā)現(xiàn)了一個高危漏洞,可以泄露用戶的密碼信息。

惡意網(wǎng)站可以利用該漏洞,在受信任頁面中嵌入 IFRAME 代碼。用戶訪問這些惡意網(wǎng)站,并使用 Bitwarden 自動填充之后,就可以獲取用戶的憑證信息。

IT之家從博文中獲悉,導(dǎo)致這個漏洞的關(guān)鍵是 Bitwarden 以非典型方式處理網(wǎng)頁中的嵌入式 iframe。

瀏覽器通過同源策略,分開 iframe 嵌入頁面和父頁面。也就是說,iframe 嵌入頁面和父頁面應(yīng)該是互相隔離的狀態(tài),無法訪問其內(nèi)容。目前包括 Firefox、Chrome 等主要瀏覽器均采用了這個安全概念。

Bitwarden 瀏覽器擴展還在通過 iframe 嵌入來自其他域的第三方內(nèi)容的頁面上使用自動填充功能。通過 iframe 嵌入的網(wǎng)頁無權(quán)訪問父頁面的內(nèi)容。

但安全研究人員寫道無需進一步的用戶交互,該頁面可以等待登錄表單的輸入,并將輸入的憑據(jù)轉(zhuǎn)發(fā)到遠程服務(wù)器。

Bitwarden 文檔確實包含一條警告,即“受感染或不受信任的網(wǎng)站”可能會利用此來竊取憑據(jù)。安全研究人員表示,如果網(wǎng)站本身受到威脅,擴展幾乎無法阻止竊取憑據(jù)。

關(guān)鍵詞:

版權(quán)聲明:
    凡注明來網(wǎng)絡(luò)消費網(wǎng)的作品,版權(quán)均屬網(wǎng)絡(luò)消費網(wǎng)所有,未經(jīng)授權(quán)不得轉(zhuǎn)載、摘編或利用其它方式使用上述作品。已經(jīng)本網(wǎng)授權(quán)使用作品的,應(yīng)在授權(quán)范圍內(nèi)使用,并注明"來源:網(wǎng)絡(luò)消費網(wǎng)"。違反上述聲明者,本網(wǎng)將追究其相關(guān)法律責(zé)任。
    除來源署名為網(wǎng)絡(luò)消費網(wǎng)稿件外,其他所轉(zhuǎn)載內(nèi)容之原創(chuàng)性、真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考并自行核實。
熱文

網(wǎng)站首頁 |網(wǎng)站簡介 | 關(guān)于我們 | 廣告業(yè)務(wù) | 投稿信箱
 

Copyright © 2000-2020 m.netfop.cn All Rights Reserved.
 

中國網(wǎng)絡(luò)消費網(wǎng) 版權(quán)所有 未經(jīng)書面授權(quán) 不得復(fù)制或建立鏡像
 

聯(lián)系郵箱:920 891 263@qq.com

備案號:京ICP備2022016840號-15

營業(yè)執(zhí)照公示信息