六大主流密码管理器浏览器扩展被曝严重安全漏洞

在 DEF CON 33 黑客大会上，安全研究员 Marek Tóth 披露，六大主流密码管理器浏览器扩展（LastPass、1Password、Bitwarden、Enpass、iCloud Passwords 和 LogMeOnce）存在未修复的点击劫持（Clickjacking）漏洞，影响约 4000 万用户。

攻击者通过在网页上覆盖透明或伪造的界面元素（如假冒的同意框、CAPTCHA 或弹出窗口），诱导用户点击，从而触发隐藏在背后的密码管理器自动填充功能，导致账号密码、认证码甚至银行卡信息泄露。

漏洞影响：

• 受影响产品：1Password（8.11.4.27）、LastPass（4.146.3）、Bitwarden（2025.7.0）、Enpass（6.11.6）、iCloud Passwords（3.1.25）、LogMeOnce（7.12.4）。
• 泄露数据：包括登录凭据（用户名、密码）、二次验证代码（TOTP）、信用卡信息（卡号、到期日期、安全码）及个人信息等。

对于上述漏洞，Bitwarden 已在 2025.8.0 版本 修复相关问题并推送更新；Dashlane、NordPass、Proton Pass、RoboForm 和 Keeper 等已提前发布补丁。Enpass 推出了部分缓解措施。

1Password 和 LastPass 初期仅将漏洞列为“信息性”问题，尚未紧急修复。LogMeOnce 暂无回应。

安全研究员建议受影响密码管理器用户，在漏洞修复前，禁用自动填充功能，改用复制/粘贴方式输入密码，以降低信息泄露风险。