近日 LastPass 密码管理的开发人员紧急推出修复程序，以解决黑客窃取用户密码或在其计算机上执行恶意代码的严重漏洞。

该漏洞由 Google 安全研究员 Tavis Ormandy 发现，并于星期一向 LastPass 报告。 它影响了服务用户为 Google Chrome，Mozilla Firefox 和 Microsoft Edge 安装的浏览器扩展。

根据 Google Project Zero 错误跟踪器中的描述，该漏洞可能会给攻击者访问 LastPass 扩展中的内部命令。扩展程序使用的这些命令来复制密码，或使用存储在用户的安全保管库中的信息填写 Web 表单。如果安装了扩展的二进制组件，则可以使用“openattach”命令在计算机上运行任意代码。

LastPass 开发人员在其服务器上部署了解决方法，并计划在新版本中包含完整修复。

Ormandy 周二在 Firefox 扩展中报道了另一个漏洞，它与第一个漏洞相关，很快，在星期三发布的新版本的 Firefox 扩展 4.1.36a 中就被修复。