IT之家 8 月 22 日消息，科技媒體 TechSpot 昨日（8 月 21 日）發(fā)布博文，報道稱在 DEF CON 33 黑客大會上，安全研究員稱六大主流密碼管理器瀏覽器擴(kuò)展（LastPass、1Password、Bitwarden、Enpass、iCloud Passwords 和 LogMeOnce）存在未修復(fù)的點擊劫持（Clickjacking）漏洞，影響約 4000 萬用戶。

IT之家注：點擊劫持是指攻擊者通過在網(wǎng)頁上覆蓋透明或偽造的界面元素，比如假冒的同意框或 CAPTCHA，誘導(dǎo)用戶點擊，從而執(zhí)行隱藏的惡意操作或泄露敏感信息。

用戶誤以為是在操作正常元素時，實際上觸發(fā)了密碼管理器的自動填充功能，導(dǎo)致賬號密碼、認(rèn)證碼甚至銀行卡信息泄露，Tóth 的研究還展示了如何利用攻擊腳本來識別瀏覽器中活躍的密碼管理器，并調(diào)整攻擊策略。

研究測試了 11 款主流密碼管理器，六款存在明顯漏洞，涉及 4000 萬用戶。Bitwarden 已在 2025.8.0 版本修復(fù)相關(guān)問題并推送更新；Enpass 此前推出部分緩解措施。

Dashlane、NordPass、Proton Pass、RoboForm 和 Keeper 等同行則已提前發(fā)布補丁。1Password 和 LastPass 初期僅將漏洞列為“信息性”問題，尚未緊急修復(fù)，LogMeOnce 暫無回應(yīng)。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。