|
|
原标题:可泄漏用户明码 Bitwarden明码办理器阅读器扩展发现新破绽
3 月 十一 日动静,按照平安机构 FlashPoint 民间博文,在明码办理器 Bitwarden 的阅读器扩展顺序中发现了一个高危破绽,能够泄漏用户的明码信息。
歹意网站能够利用该破绽,在受信赖页面中嵌入 IFRAME 代码。用户拜候这些歹意网站,并使用 Bitwarden 自动填充之后,就能获得用户的凭证信息。
IT之家从博文中得悉,致使这个破绽的症结是 Bitwarden 以非典型形式处置网页中的嵌入式 iframe。
阅读器经过同源战略,离开 iframe 嵌入页面和父页面。也就是说,iframe 嵌入页面和父页面应该是相互隔离的形态,无奈拜候其内容。目前包罗 Firefox、Chrome 等次要阅读器均采取了这个平安概念。
Bitwarden 阅读器扩展还在经过 iframe 嵌入来自其余域的第三方内容的页面上使用自动填充功用。经过 iframe 嵌入的网页无权拜候父页面的内容。
但平安钻研人员写道无需进一步的用户交互,该页面能够等候登录表单的输出,并将输出的凭据转发到近程办事器。
Bitwarden 文档的确包孕一条正告,即“受感染或不受信赖的网站”可能会利用此来盗取凭据。平安钻研人员表现,假如网站自身遭到要挟,扩展简直无奈禁止盗取凭据。
【来源:IT之家】 |
|
注册会员