GoogleProjectZero黑客TavisOrmandy报告在流行密码管理工具LastPass中发现了一个高危0day漏洞，允许恶意网站完整访问用户的账号。漏洞已经报告给了LastPass，细节没有披露。

　　巧合的是另一位安全研究人员MathiasKarlsson也报告了LastPass的一个类似漏洞，目前还不清楚两个漏洞是否相同。

　　Karlsson在其博客上描述了他的发现：LastPass的密码自动填写功能存在bug，允许恶意网站欺骗LastPass相信它是另一个网站比如Twitter，窃取用户登录凭证。Karlsson建议用户关闭自动填写功能。

　　LastPass称它已经修复了漏洞，漏洞主要影响Firefox用户。