少し前のネタで、国内でもある程度流れてますが一応。

「主要なブラウザの実装上の問題のため、保存されたパスワードを外部スクリプトで盗み出すことが可能と判明」

thehackernews.com

これは「パスワード・マネージャ」の話ではなく、ブラウザ自身のパスワード保存機能の話です。

現在のブラウザのパスワード保存機能は、同一ドメインのフォームで同一項目があった場合、内容を自動的に埋めます（Chromeはページ内のどこかをクリックした時に埋めますが、この程度だと防御にはならないでしょう）。

このため、同一ドメイン内で動作するスクリプトが見えないフォームを作った場合にも、やはり内容が自動的に入ります。

つまり、広告や追跡用の外部スクリプトも、これらの情報を盗み出せるということになります。大手のサイトは外部の広告が大量に入っていますから、この方法でパスワードが抜き出せることが懸念されます。

この問題を発見した研究者たちが調査したところ、一部の追跡スクリプトはこの問題を既に活用しており、メールアドレスを取り出していたそうです。これはcookieの削除などを含めた措置を超えて利用者を個別に追跡できるため、彼らにとって非常に有用とみています。ただしパスワードは盗まれていなかったそうです。