Google Project Zero 黑客 Tavis Ormandy 报告在流行密码管理工具 LastPass 中发现了一个高危0day 漏洞，允许恶意网站完整访问用户的账号。漏洞已经报告给了 LastPass，细节没有披露。

巧合的是另一位安全研究人员 Mathias Karlsson 也报告了 LastPass 的一个类似漏洞，目前还不清楚两个漏洞是否相同。

 Karlsson 在其博客上描述了他的发现：LastPass的密码自动填写功能存在bug，允许恶意网站欺骗 LastPass 相信它是另一个网站比如Twitter，窃取用户登录凭证。Karlsson建议用户关闭自动填写功能。

LastPass称它已经修复了漏洞，漏洞主要影响 Firefox 用户。