ほとんどのパスワード管理アプリから機密情報を盗み出せる ～拡張機能を狙う攻撃手法が明らかに - 窓の杜
https://forest.watch.impress.co.jp/docs/news/2040917.html

『今回問題となっているのは…「DOMベース」を拡張機能のクリックジャッキングに悪用する手法だ。これはどのタイプの拡張機能に対しても有効だが、とくにパスワード管理アプリと連携するタイプは機密データ――パスキーまでも――を抜き取られてしまうため、Webアプリケーションを標的とした一般のクリックジャッキングよりも影響は深刻となる。しかも、氏の調査によると、ほぼすべてのパスワード管理拡張機能で攻撃を成功させることができたという。

　また、パスワード管理拡張機能の多くはサブドメインでもオートフィルが有効となっている。そのため、信頼できるWebサイトでもクロスサイトスクリプティング（XSS）やサブドメインの乗っ取り、Webキャッシュポイズニングなどで情報を抜き取られてしまう可能性がある。

　これらの脆弱性は2025年4月に報告済みで、内容の公表は2025年8月まで猶予された。しかし、「#Bitwarden」や「#1Password」、「iCloud Passwords」、「#Enpass」、「#LastPass」、「#LogMeOnce」など、一部のベンダーはまだ脆弱性への対策が完了していないという（「Bitwarden」に関しては修正が完了し、アドオンストアへの掲載を申請中とのこと）。』

#Zeroday #Clickjacking #exploit impacts several #passwordmanagers

https://www.ghacks.net/2025/08/21/zero-day-clickjacking-exploit-impacts-several-password-managers/?utm_source=mas.to&utm_medium=social&utm_campaign=&utm_term=&utm_content=&utm_referrer=https%3A%2F%2Fmas.to%2F%40KNTRO&utm_id=&utm_creative=&utm_channel=mastodon_organic&utm_platform=desktop&utm_location=argentina&utm_language=es-ar&utm_variant=

#Zero_Day #Password #Passwords #PasswordManager #0day #0_day #MarekTóth #Tóth #1Password #Bitwarden #Dashlane #Enpass #iCloudPasswords #Keeper #LastPass #LogMeOnce #NordPass #ProtonPass #RoboForm #Cybersecurity #Socket #KeePass