Who Let The Dogs Out 🐾<p><a href="https://mastodon.ml/tags/vulnerability" class="mention hashtag" rel="nofollow noopener" target="_blank">#<span>vulnerability</span></a> <a href="https://mastodon.ml/tags/clickjacking" class="mention hashtag" rel="nofollow noopener" target="_blank">#<span>clickjacking</span></a> <a href="https://mastodon.ml/tags/passwordmanager" class="mention hashtag" rel="nofollow noopener" target="_blank">#<span>passwordmanager</span></a> </p><p>Исследователь Марек Тот обнаружил (<a href="https://marektoth.com/blog/dom-based-extension-clickjacking/" rel="nofollow noopener" translate="no" target="_blank"><span class="invisible">https://</span><span class="ellipsis">marektoth.com/blog/dom-based-e</span><span class="invisible">xtension-clickjacking/</span></a>), (<a href="https://marektoth.com/blog/dom-based-extension-clickjacking/" rel="nofollow noopener" translate="no" target="_blank"><span class="invisible">https://</span><span class="ellipsis">marektoth.com/blog/dom-based-e</span><span class="invisible">xtension-clickjacking/</span></a>) что расширения для браузеров 1Password, Bitwarden, Dashlane, Enpass, Keeper, LastPass, LogMeOnce, NordPass, ProtonPass, RoboForm и Apple iCloud Passwords уязвимы для атак типа clickjacking, которые могут привести к краже конфиденциальных данных.</p><p>Эти расширения достаточно популярны, их общее число активных установок составляет около 40 миллионов, согласно данным официальных репозиториев расширений для браузеров Chrome, Edge и Firefox.</p><p>При этом некоторые поставщики уже устранили уязвимости, но для Bitwarden 2025.7.0, 1Password 8.11.4.27, iCloud Passwords 3.1.25, Enpass 6.11.6, LastPass 4.146.3 и LogMeOnce 7.12.4 исправления все еще не выпущены. Несмотря на то, что поставщиков оповестили о проблемах еще в апреле 2025 года.</p><p>Результаты своей работы Тот представил на конференции DEF CON, также опубликовал отчёт в своём блоге.</p><p><a href="https://marektoth.com/blog/dom-based-extension-clickjacking/" rel="nofollow noopener" translate="no" target="_blank"><span class="invisible">https://</span><span class="ellipsis">marektoth.com/blog/dom-based-e</span><span class="invisible">xtension-clickjacking/</span></a></p>