安全是密码管理软件的基石，在此基础上搭建的用户体验、功能等才能安稳。作为拥有800万用户的热门密码管理软件，LastPass近日连续被曝光了两个零日漏洞，不过所幸的是目前并没有任何证据表明该漏洞被黑客利用，而且公司已经着手修复曝光的第二个问题。

 

本月20日，Google Project Zero项目的白帽黑客Tavis Ormandy发现LastPass Chrome扩展中存在一个可利用的内容脚本，将导致恶意网页能够从该管理器内提取到密码内容。

然而，由于受到所发现安全漏洞的影响，如今用户在浏览恶意网站时，其LastPass中的所保存的全部密码内容亦将被对方所发现。由Ormandy发现的这一薄弱LastPass脚本可能被利用以访问该管理器的内部数据。

另外，该脚本亦可被滥用以在受害者的计算机上执行各类命令——Ormandy演示了如何通过打开网页的方式运行计算器(calc.exe)。在这种情况下，恶意网站能够借此将恶意软件投放至访客设备之上。受害者必须安装有LastPass的二进制组件，方会受到这类攻击的影响。

美国东部时间3月22日下午2点49分钟，面向Firefox和Chrome浏览器的扩展程序发布了包含补丁程序的新版本，而Opera和Edge浏览器的扩展程序目前还在审核状态。随后，LastPass团队在私人博客上发布了关于本次BUG的完整报告。

3月25日，Tavis在推文中披露了另一个漏洞，影响4.1.43版本，是Google Chrome的最新版本。为此这款知名密码管理软件的团队在3月20日发布的博文中再添加了一项声明：

2017年3月25日(下午5点)更新：我们的团队目前正在调查Tavis Ormandy报告的新问题，当我们掌握充足信息的时候我们将会在社区内进行公布。谢谢大家的支持。

(责任编辑：安博涛)