内容摘要：根据安全机构 FlashPoint 官方博文，在密码管理器 Bitwarden 的浏览器扩展程序中发现了一个高危漏洞，可以泄露用户的密码信息。恶意网站可以利用该漏洞，在受信任页面中嵌入 IFRAME

根据安全机构 FlashPoint 官方博文，可泄扩展在密码管理器 Bitwarden 的露用览器浏览器扩展程序中发现了一个高危漏洞，可以泄露用户的户密密码信息
。

恶意网站可以利用该漏洞 ，码B密码在受信任页面中嵌入 IFRAME 代码。管理用户访问这些恶意网站
，模板下载器浏并使用 Bitwarden 自动填充之后，发现就可以获取用户的新漏凭证信息 。

IT之家从博文中获悉，可泄扩展导致这个漏洞的露用览器关键是 Bitwarden 以非典型方式处理网页中的高防服务器嵌入式 iframe。

浏览器通过同源策略 ，户密分开 iframe 嵌入页面和父页面 。码B密码也就是管理说
，iframe 嵌入页面和父页面应该是器浏互相隔离的建站模板状态  ，无法访问其内容 。发现目前包括 Firefox  、Chrome 等主要浏览器均采用了这个安全概念 。

Bitwarden 浏览器扩展还在通过 iframe 嵌入来自其他域的第三方内容的页面上使用自动填充功能 。免费模板通过 iframe 嵌入的网页无权访问父页面的内容。

但安全研究人员写道无需进一步的用户交互
，该页面可以等待登录表单的输入
，源码库并将输入的凭据转发到远程服务器。

Bitwarden 文档确实包含一条警告，即“受感染或不受信任的网站”可能会利用此来窃取凭据 。安全研究人员表示
，如果网站本身受到威胁，源码下载扩展几乎无法阻止窃取凭据 。