数据观澜物联网
快捷导航
您的位置:首页>人工智能>>可泄露用户密码,Bitwarden密码管理器浏览器扩展发现新漏洞 >

可泄露用户密码,Bitwarden密码管理器浏览器扩展发现新漏洞

  发布时间:2025-12-07 15:00:11   作者:玩站小弟   我要评论
根据安全机构 FlashPoint 官方博文,在密码管理器 Bitwarden 的浏览器扩展程序中发现了一个高危漏洞,可以泄露用户的密码信息。恶意网站可以利用该漏洞,在受信任页面中嵌入 IFRAME 。

根据安全机构 FlashPoint 官方博文,可泄扩展在密码管理器 Bitwarden 的露用览器浏览器扩展程序中发现了一个高危漏洞 ,可以泄露用户的户密密码信息  。

恶意网站可以利用该漏洞,码B密码在受信任页面中嵌入 IFRAME 代码 。管理用户访问这些恶意网站 ,云计算器浏并使用 Bitwarden 自动填充之后 ,发现就可以获取用户的新漏凭证信息 。

IT之家从博文中获悉 ,可泄扩展导致这个漏洞的露用览器关键是 Bitwarden 以非典型方式处理网页中的源码下载嵌入式 iframe。

浏览器通过同源策略 ,户密分开 iframe 嵌入页面和父页面。码B密码也就是管理说,iframe 嵌入页面和父页面应该是器浏互相隔离的服务器租用状态,无法访问其内容 。发现目前包括 Firefox 、Chrome 等主要浏览器均采用了这个安全概念 。

Bitwarden 浏览器扩展还在通过 iframe 嵌入来自其他域的第三方内容的页面上使用自动填充功能。香港云服务器通过 iframe 嵌入的网页无权访问父页面的内容。

但安全研究人员写道无需进一步的用户交互,该页面可以等待登录表单的输入,模板下载并将输入的凭据转发到远程服务器 。

Bitwarden 文档确实包含一条警告,即“受感染或不受信任的网站”可能会利用此来窃取凭据 。安全研究人员表示  ,如果网站本身受到威胁,高防服务器扩展几乎无法阻止窃取凭据。

  • Tag:

相关文章

  • 保持警觉,勒索软件HelloXD可能在你的系统上部署新后门

    近日,有观察人士发现,勒索软件HelloXD新部署了一个后门——MicroBackdoor,旨在加强其对受感染主机的持续远程访问。勒索软件HelloXD首次出现在威胁场景发生于2021年11月30日,
    2025-12-07

  • 网站和电子邮件中的Web信标

    目前有大量的追踪器,它们收集用户在线活动的信息。但出于各种目的,我们已经习惯了在线服务提供商、营销机构和分析公司跟踪我们的每一次鼠标点击、我们的社交帖子、浏览器和流媒体服务。这些被收集的数据可用于改善
    2025-12-07

  • 活跃在发展中国家的贷款欺诈软件安装量达 1500 万

    Google Play 和 Apple App Store 上的 280 多个 Android 和 iOS 应用程序以具有欺诈性的条款使用户陷入贷款漩涡,并采用各种方法对借款人进行勒索和骚扰。为了实现
    2025-12-07

  • 按图索骥,最终发现数字犯罪天堂

    网络犯罪分子很少重复发明轮子,因为从勒索软件到窃密程序,地下市场有各种各样可供购买的工具包,任何人都可以快速上手。研究人员近期发现了名为 Mr.SNIFFA 的信息窃密木马较为活跃,该恶意软件针对电子
    2025-12-07

  • 超过 30% 的 Log4J 应用程序使用存在漏洞的版本库

    Bleeping Computer 网站消息,大约有 38% 采用 Apache Log4j 库的应用程序使用的是存在安全问题的版本,其中包括 Log4Shell 漏洞,该漏洞被追踪为 CVE-202
    2025-12-07

  • 2200倍!新的SLP漏洞引发史上最大DoS放大攻击

    服务定位协议SLP)被曝高严重性安全漏洞,该漏洞可被用作武器化,对目标发起体积性拒绝服务DoS)攻击。Bitsight和Curesec的研究人员Pedro Umbelino和Marco Lux在一份与
    2025-12-07

最新评论