这是一个创建于 162 天前的主题,其中的信息可能已经有所发展或是发生改变。
6 款主流密码管理器曝严重漏洞,影响 4000 万用户
安全研究员在 DEF CON 33 黑客大会上披露,LastPass 、1Password 、Bitwarden 、Enpass 、iCloud Passwords 和 LogMeOnce 等六款主流密码管理器浏览器扩展存在未修复的点击劫持漏洞,影响约 4000 万用户。
攻击者可通过在网页覆盖透明或伪造界面元素,诱导用户误点击后触发密码管理器自动填充功能,导致账号密码、认证码甚至银行卡信息泄露。目前 Bitwarden 已在 2025.8.0 版本修复相关问题,Enpass 推出部分缓解措施,而 1Password 和 LastPass 仅将漏洞列为"信息性"问题,尚未紧急修复。
安全研究员在 DEF CON 33 黑客大会上披露,LastPass 、1Password 、Bitwarden 、Enpass 、iCloud Passwords 和 LogMeOnce 等六款主流密码管理器浏览器扩展存在未修复的点击劫持漏洞,影响约 4000 万用户。
攻击者可通过在网页覆盖透明或伪造界面元素,诱导用户误点击后触发密码管理器自动填充功能,导致账号密码、认证码甚至银行卡信息泄露。目前 Bitwarden 已在 2025.8.0 版本修复相关问题,Enpass 推出部分缓解措施,而 1Password 和 LastPass 仅将漏洞列为"信息性"问题,尚未紧急修复。
 |
1
Greenm 2025 年 8 月 22 日  22
你都能覆盖透明或伪造界面元素了,那你也能直接伪造一个登陆框让用户输入账号密码,这不是一样的么。
你们媒体人啊,不要见风就说是雨,如果将来你们报导上有偏差,你们要负责。 |
 |
2
TsubasaHanekaw 2025 年 8 月 22 日
你是说,有一个网页, 通过了插件的域名匹配, 然后有用户名密码输入页面 然后我就要输账号密码了?
|
 |
3
xiangyuecn 2025 年 8 月 22 日
严重漏洞???实际上可以说是毫不相干
|
 |
4
jydeng 2025 年 8 月 22 日
标题党,可以拉黑了
|
 |
5
Overfill3641 2025 年 8 月 22 日 1
我还以为是存储、加密、通信方面的漏洞,原来是诈骗啊😆。
|
 |
6
kera0a 2025 年 8 月 22 日 via iPhone
都这样了,是不是自己直接查数据库更方便点?
|
 |
7
pchychina 2025 年 8 月 22 日
strongbox 没在里边吧?
|
 |
8
irainsoft 2025 年 8 月 22 日 1
看完我只想知道 Bitwarden 修了什么?
|
 |
9
sudo123 2025 年 8 月 22 日
我用 keepass
|
 |
10
MajestySolor 2025 年 8 月 22 日
我比较好奇 bitwarden 具体“修复”了什么东西🤣
|
 |
11
danbai PRO 可能是修复了确保输入框可见才填充吧
|
 |
13
wegbjwjm 2025 年 8 月 22 日 via iPhone
我用的 XyKey 只有本地
|
 |
14
hefish 2025 年 8 月 22 日 5
看这位 op 发贴标题,基本都是骗回帖的。我手动 block 他了。
|
 |
15
aileaile 2025 年 8 月 22 日
KeePass 稳如狗,墙裂推荐!
 |
 |
16
card123 PRO 也不知道到底想说什么
|
 |
17
docx 2025 年 8 月 23 日 via iPhone
社会学漏洞能让密码器背锅吗
|
 |
18
Foxkeh 2025 年 8 月 23 日
OP 发的这些灌水帖子有啥意义呢
|
 |
19
zhouweiluan 2025 年 8 月 23 日
说白了这不就是纯钓鱼么,跟伪造一个钓鱼网站让你输入账号密码本质上一样。
|
 |
20
snw 2025 年 8 月 23 日 via Android
|
|
21
snw 2025 年 8 月 23 日 via Android 1
稍微总结一下:
1. 在单独利用的情况下,这个漏洞只能盗取不限域名填充的信息,比如个人姓名、邮箱、电话、证件号、信用卡号、信用卡有效期、信用卡 CVV 等。不能盗取必须匹配域名的信息,例如其他站点的登录名和密码等。 2. 在配合 XSS 漏洞的情况下,这个漏洞能利用任意一个子域名的 XSS 漏洞,盗取相同主域名的其他重要域名的重要信息,例如用户名、密码,如果密码管理器支持自动填充 TOTP 的话甚至连 2FA 都没用。 原文的 PoC 利用了 issuetracker.google.com 域名的一个 XSS 漏洞,获取了 accounts.google.com 域名的登录信息+TOTP 。 3. 整个过程中,用户压根不会看到任何“请输入用户名/密码”的提示,也压根不会看到密码管理器提示“请确认是否填入登录信息”,就把密码管理器里面的信息交出去了。 我的评价:单独使用价值不大,但对其他漏洞有很好的辅助加成,能导致受害范围扩大到有良好安全习惯的用户,比如这里的 1 楼和所有给 1 楼点赞的人🐶 |
|
22
snw 2025 年 8 月 23 日 via Android
@Greenm
@TsubasaHanekaw @docx @zhouweiluan 这个漏洞不需要用户输入信息,也不需要用户同意密码管理器填充信息,用户看到的只有“同意/拒绝 cookies”、“我不是机器人验证”、“关闭广告”等需要用户点击的按钮。 这个确实是正经的密码管理器浏览器扩展漏洞。单独利用危害较小,但对 XSS 漏洞的辅助加成很棒。 |
Select Language