缺陷允许远程代码执行或密码窃取
扩展二进制组件安装后 漏洞允许攻击者访问流氓网站时 执行用户计算机恶意代码如果组件不存在,缺陷仍可用于从用户安全密码库提取密码
更糟的是 扩展浏览器中的存在 足以使缺陷被利用Ormandy在Twitter上表示攻击仍然有效,
假设这只是远程代码执行攻击,因为不登录会话密码库将保持加密并无法访问网站
LastPass开发商周一表示博客文章攻击是独特和高度精密我们不想透露任何细节 漏洞或修复方法 向不精密但邪恶方
LastPass建议用户使用启动功能直接从密码库内发布密码网站公司建议用户为提供此选项的在线服务打开双因子认证程序,并谨防钓鱼攻击和潜在恶意链接
Ormandy认为公司需要很长时间修复这一漏洞,因为这是“一个重大的架构问题 ” 。 Google项目零执行标准漏洞披露期限为90天
