LastPass已經關閉了Chrome擴展上的一個遠程代碼執行漏洞，但據GoogleProjectZero研究員TavisOrmandy稱，火狐擴展仍然存在問題，以及即將出現的另一個竊取密碼漏洞的詳細信息。

Ormandy在ProjectZero問題跟蹤器中寫道，可以向LastPass代理不受信任的消息。

“這允許完全訪問內部特權LastPass RPC命令，”研究人員說。“有數以百計的內部LastPass RPC，但顯然不好的是復制和填充密碼(復制、填充等)。”

此外，如果用戶安裝了LastPass二進制組件，則系統容易受到遠程代碼執行的影響。

lastass通過在受影響的域上返回DNS錯誤解決了問題。該公司在Twitter上表示，將在未來的博客文章中提供有關這個問題的更多細節。

Ormandy寫道：“希望他們已經取消了服務，而不僅僅是刪除了DNS條目，或者MITM(中間的人)仍然可以插入正確的DNS響應。”

“(請注意，影響Firefox上的LastPass的第1188期并不是固定的，而且仍然有效)。”

在一份提高警惕的聲明中，據Ormandy說，LastPass說他們不能讓他的代碼執行開發起作用，但是安全研究人員在他的代碼中調用Windows計算器可執行文件，而LastPass則在Mac上檢查代碼。

他說：“當然，calc.exe不會出現在Mac電腦上。

幾個小時后，奧曼迪說他在密碼管理軟件中發現了另一個漏洞。

他在推特上說：“我在LastPass4.1.35（未補丁）中發現了另一個bug，允許竊取任何域名的密碼。“完整的報告將很快提交。”

過去，LastPass一直處于Ormandy的注視之下，研究人員之前發現了允許LastPass帳戶發生遠程妥協的bug。

“人們真的在使用這種LastPass的東西嗎？”Ormandy在2016年7月表示。

Ormandy最近一直在研究網絡瀏覽器擴展，今年早些時候，在Cisco WebEx Chrome擴展中發現了一個遠程代碼執行錯誤，以及一個自動安裝的AdobeAcrobatChrome擴展，使其用戶容易受到跨站點腳本攻擊。Last Pass于2015年10月由LogMe In以1.1億美元購買。