天呐,多款密码管理器曝严重漏洞, 2FA 才是出路吗?

12 天前
 Ryanzlab
6 款主流密码管理器曝严重漏洞,影响 4000 万用户

安全研究员在 DEF CON 33 黑客大会上披露,LastPass 、1Password 、Bitwarden 、Enpass 、iCloud Passwords 和 LogMeOnce 等六款主流密码管理器浏览器扩展存在未修复的点击劫持漏洞,影响约 4000 万用户。

攻击者可通过在网页覆盖透明或伪造界面元素,诱导用户误点击后触发密码管理器自动填充功能,导致账号密码、认证码甚至银行卡信息泄露。目前 Bitwarden 已在 2025.8.0 版本修复相关问题,Enpass 推出部分缓解措施,而 1Password 和 LastPass 仅将漏洞列为"信息性"问题,尚未紧急修复。
2985 次点击
所在节点    问与答
22 条回复
Greenm
12 天前
你都能覆盖透明或伪造界面元素了,那你也能直接伪造一个登陆框让用户输入账号密码,这不是一样的么。

你们媒体人啊,不要见风就说是雨,如果将来你们报导上有偏差,你们要负责。
TsubasaHanekaw
12 天前
你是说,有一个网页, 通过了插件的域名匹配, 然后有用户名密码输入页面 然后我就要输账号密码了?
xiangyuecn
12 天前
严重漏洞???实际上可以说是毫不相干
jydeng
12 天前
标题党,可以拉黑了
v2tudnew
12 天前
我还以为是存储、加密、通信方面的漏洞,原来是诈骗啊😆。
kera0a
12 天前
都这样了,是不是自己直接查数据库更方便点?
pchychina
12 天前
strongbox 没在里边吧?
irainsoft
12 天前
看完我只想知道 Bitwarden 修了什么?
sudo123
12 天前
我用 keepass
MajestySolor
12 天前
我比较好奇 bitwarden 具体“修复”了什么东西🤣
danbai
12 天前
可能是修复了确保输入框可见才填充吧
Mystery0
12 天前
@irainsoft 修复了这个被归类为漏洞的漏洞(把媒体人号 ban 了),也许啥都没改就发了个版😂
wegbjwjm
12 天前
我用的 XyKey 只有本地
hefish
12 天前
看这位 op 发贴标题,基本都是骗回帖的。我手动 block 他了。
aileaile
12 天前
KeePass 稳如狗,墙裂推荐!
card123
12 天前
也不知道到底想说什么
docx
12 天前
社会学漏洞能让密码器背锅吗
Foxkeh
11 天前
OP 发的这些灌水帖子有啥意义呢
zhouweiluan
11 天前
说白了这不就是纯钓鱼么,跟伪造一个钓鱼网站让你输入账号密码本质上一样。
snw
11 天前
看原文吧,如果看不明白文字的先看看视频演示

https://marektoth.com/blog/dom-based-extension-clickjacking/

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1154273

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX