Google Project Zero 黑客 Tavis Ormandy 報(bào)告在流行密碼管理工具 LastPass 中發(fā)現(xiàn)了一個(gè)高危0day 漏洞，允許惡意網(wǎng)站完整訪問(wèn)用戶的賬號(hào)。漏洞已經(jīng)報(bào)告給了 LastPass，細(xì)節(jié)沒(méi)有披露。

巧合的是另一位安全研究人員 Mathias Karlsson 也報(bào)告了 LastPass 的一個(gè)類似漏洞，目前還不清楚兩個(gè)漏洞是否相同。

Karlsson 在其博客上描述了他的發(fā)現(xiàn)：LastPass的密碼自動(dòng)填寫(xiě)功能存在bug，允許惡意網(wǎng)站欺騙 LastPass 相信它是另一個(gè)網(wǎng)站比如Twitter，竊取用戶登錄憑證。Karlsson建議用戶關(guān)閉自動(dòng)填寫(xiě)功能。

LastPass稱它已經(jīng)修復(fù)了漏洞，漏洞主要影響 Firefox 用戶。