專注查找漏洞的一名安全研究人員，已經發現了知名在線密碼管理器LastPass的一個潛在風險，攻擊者可借此接觸到用戶的線上賬戶。萬幸的是，LastPass已經修復了這個讓攻擊者遠程訪問數百萬賬戶的所謂“零日漏洞”，據說用戶在訪問一個特定惡意站點時就會中招。The Register指出，白帽研究者Tavis Ormandy率先證實了這個問題。

　　其實不止LastPass，任何云密碼存儲服務都有風險。

Ormandy在推文中寫到，他已經向LastPass發去了完整的報告，接下去將繼續為其競爭對手（1Password密碼管理器）查找漏洞。

　　Ormandy和LastPass均未透露有關該漏洞或報告的細節。

【更新】一名LastPass新聞發言人證實，該公司在審閱了Ormandy的報告后很快修復了該漏洞，在一篇博客文章中給出了說明并推薦用戶更新。

博客文章證實Ormandy是谷歌安全團隊的一名研究人員，這個‘消息注入bug’會影響LastPass的Firefox附加組件。

● 首先，攻擊者需要成功引誘一名LastPass用戶到某個惡意網站上。

● 然后，Ormandy演示了網站會在不被用戶察覺的情況下執行LastPass操作（比如刪除某些條目）；

● 不過該問題已被徹底修復，并且向所有使用LastPass 4.0的Firefox用戶推送了更新。