【資料圖】

近日消息，根據(jù)安全機(jī)構(gòu) FlashPoint 官方博文，在密碼管理器 Bitwarden 的瀏覽器擴(kuò)展程序中發(fā)現(xiàn)了一個(gè)高危漏洞，可以泄露用戶(hù)的密碼信息。

惡意網(wǎng)站可以利用該漏洞，在受信任頁(yè)面中嵌入 IFRAME 代碼。用戶(hù)訪(fǎng)問(wèn)這些惡意網(wǎng)站，并使用 Bitwarden 自動(dòng)填充之后，就可以獲取用戶(hù)的憑證信息。

從博文中獲悉，導(dǎo)致這個(gè)漏洞的關(guān)鍵是 Bitwarden 以非典型方式處理網(wǎng)頁(yè)中的嵌入式 iframe。

瀏覽器通過(guò)同源策略，分開(kāi) iframe 嵌入頁(yè)面和父頁(yè)面。也就是說(shuō)，iframe 嵌入頁(yè)面和父頁(yè)面應(yīng)該是互相隔離的狀態(tài)，無(wú)法訪(fǎng)問(wèn)其內(nèi)容。目前包括 Firefox、Chrome 等主要瀏覽器均采用了這個(gè)安全概念。

Bitwarden 瀏覽器擴(kuò)展還在通過(guò) iframe 嵌入來(lái)自其他域的第三方內(nèi)容的頁(yè)面上使用自動(dòng)填充功能。通過(guò) iframe 嵌入的網(wǎng)頁(yè)無(wú)權(quán)訪(fǎng)問(wèn)父頁(yè)面的內(nèi)容。

但安全研究人員寫(xiě)道無(wú)需進(jìn)一步的用戶(hù)交互，該頁(yè)面可以等待登錄表單的輸入，并將輸入的憑據(jù)轉(zhuǎn)發(fā)到遠(yuǎn)程服務(wù)器。

Bitwarden 文檔確實(shí)包含一條警告，即“受感染或不受信任的網(wǎng)站”可能會(huì)利用此來(lái)竊取憑據(jù)。安全研究人員表示，如果網(wǎng)站本身受到威脅，擴(kuò)展幾乎無(wú)法阻止竊取憑據(jù)。

標(biāo)簽：