可泄露用户密码 Bitwarden密码管理器浏览器拓展发现新漏洞

参考FlashPoint的官方博客文章，在密码管理器 Bitwarden 的浏览器扩展程序中发现了一个高危漏洞，可以泄露用户的密码信息。

浏览器通过同源策略，分开 iframe 嵌入页面和父页面。也就是说，iframe 嵌入页面和父页面应该是互相隔离的状态，无法访问其内容。目前包括 Firefox、Chrome 等主要浏览器均采用了这个安全概念。

Bitwarden 浏览器扩展还在通过 iframe 嵌入来自其他域的第三方内容的页面上使用自动填充功能。通过 iframe 嵌入的网页无权访问父页面的内容。

但安全研究人员写道无需进一步的用户交互，该页面可以等待登录表单的输入，并将消费者输入的物品的凭据转发传送到数据库的远程计算机服务器。

Bitwarden 文档确实包含一条警告，即“受感染或不受信任的网站”可能会利用此来窃取凭据。安全研究人员表示，如果网站本身受到威胁，扩展几乎无法阻止窃取凭据。这些漏洞的影响范围包括：访问者可以通过浏览器访问受感染的网站，或者通过其他方式获取敏感信息。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!