Для просмотра ссылки Войди или Зарегистрируйся
На конференции DEF CON 33 чешский исследователь в области безопасности Марек Тот (Marek Tóth) представил серию незакрытых уязвимостей нулевого дня, связанных с кликджекингом, которые затрагивают браузерные плагины для широкого спектра менеджеров паролей, включая: 1Password, Bitwarden, Dashlane, Enpass, iCloud Passwords, Keeper, LastPass, LogMeOnce, NordPass, ProtonPass и RoboForm.
После раскрытия информации несколько менеджеров паролей по-прежнему остаются уязвимыми и подверженными этим уязвимостям, в том числе: 1Password, Bitwarden, Enpass, iCloud Passwords, LastPass и LogMeOnce. LogMeOnce так и не ответил на попытки исследователей связаться с ним. 1Password и LastPass отметили эти уязвимости как «информативные». Практически говоря, эти уязвимости вряд ли будут исправлены без давления со стороны клиентов этих поставщиков.
Многие из нас, присутствовавших на этой лекции, были обеспокоены этими выводами и отсутствием оперативного реагирования со стороны поставщиков менеджеров паролей для адекватного устранения этих рисков. В конце я услышал, как один из участников сказал: «Что ж, пора отключить наш браузерный менеджер паролей во всей нашей организации». Другой с юмором заметил: «Пора уйти в лес и жить отшельником». Разумеется, аудитория была шокирована; мы все вместе доверяем нашим менеджерам паролей, и было удивительно, как легко их можно взломать.
Воздействие
Раскрытые Тотом уязвимости позволяют хакерам похищать конфиденциальные данные из менеджеров паролей, такие как данные кредитных карт, имена, адреса и номера телефонов, если жертва посещает вредоносный веб-сайт. Кроме того, если уязвимый веб-сайт, на котором хранятся учетные данные вашего менеджера паролей, имеет уязвимость межсайтового скриптинга (XSS) или возможность захвата субдомена, хакеры могут использовать ее для похищения учетных данных для входа (имен пользователей и паролей), кодов 2FA и ключей доступа.
По состоянию на 19 августа 2025 года следующие версии были подтверждены как по-прежнему уязвимые:
Source: Для просмотра ссылки Войдиили Зарегистрируйся
На конференции DEF CON 33 чешский исследователь в области безопасности Марек Тот (Marek Tóth) представил серию незакрытых уязвимостей нулевого дня, связанных с кликджекингом, которые затрагивают браузерные плагины для широкого спектра менеджеров паролей, включая: 1Password, Bitwarden, Dashlane, Enpass, iCloud Passwords, Keeper, LastPass, LogMeOnce, NordPass, ProtonPass и RoboForm.
После раскрытия информации несколько менеджеров паролей по-прежнему остаются уязвимыми и подверженными этим уязвимостям, в том числе: 1Password, Bitwarden, Enpass, iCloud Passwords, LastPass и LogMeOnce. LogMeOnce так и не ответил на попытки исследователей связаться с ним. 1Password и LastPass отметили эти уязвимости как «информативные». Практически говоря, эти уязвимости вряд ли будут исправлены без давления со стороны клиентов этих поставщиков.
Многие из нас, присутствовавших на этой лекции, были обеспокоены этими выводами и отсутствием оперативного реагирования со стороны поставщиков менеджеров паролей для адекватного устранения этих рисков. В конце я услышал, как один из участников сказал: «Что ж, пора отключить наш браузерный менеджер паролей во всей нашей организации». Другой с юмором заметил: «Пора уйти в лес и жить отшельником». Разумеется, аудитория была шокирована; мы все вместе доверяем нашим менеджерам паролей, и было удивительно, как легко их можно взломать.
Воздействие
Раскрытые Тотом уязвимости позволяют хакерам похищать конфиденциальные данные из менеджеров паролей, такие как данные кредитных карт, имена, адреса и номера телефонов, если жертва посещает вредоносный веб-сайт. Кроме того, если уязвимый веб-сайт, на котором хранятся учетные данные вашего менеджера паролей, имеет уязвимость межсайтового скриптинга (XSS) или возможность захвата субдомена, хакеры могут использовать ее для похищения учетных данных для входа (имен пользователей и паролей), кодов 2FA и ключей доступа.
По состоянию на 19 августа 2025 года следующие версии были подтверждены как по-прежнему уязвимые:
- Bitwarden: Bitwarden Password Manager: 2025.7.0 (последняя)
- 1Password: 1Password – Password Manager: 8.11.4.27 (последняя)
- LastPass: LastPass: 4.146.3 (последняя версия)
- LogMeOnce: LogMeOnce: 7.12.4 (последняя версия)
- Enpass: Enpass: 6.11.6 (последняя версия)
- Apple: iCloud Passwords: 3.1.25 (последняя версия)
Source: Для просмотра ссылки Войди