GreaseMonkey Greasemonkey is a popular Firefox extension which allows lots of great enhancements to your browser using third party GreaseMonkey scripts. es una popular extensión de Firefox que permite un montón de grandes mejoras a su navegador utilizando tercero Greasemonkey scripts. Yesterday a serious security vulnerability was found which exposes the hard drive content of GreaseMonkey users to any website you visit. Ayer una grave vulnerabilidad de seguridad se constató que expone el contenido del disco duro de Greasemonkey para usuarios de cualquier sitio web que usted visita. Windows as well as Mac users are affected. Windows, así como los usuarios de Mac se ven afectados. And there is more. Y hay más. Here are the gory details. Aquí están los detalles sangrientos.

Summary Resumen
For the impatient here is the Para los impacientes aquí es el summary from GreaseBlog resumen de GreaseBlog :

Yesterday, Mark Pilgrim discovered and announced a very serious security vulnerability in Greasemonkey. Ayer, Mark Pilgrim ha descubierto y anunciado una muy grave vulnerabilidad de seguridad en Greasemonkey. The flaw allows any website which matches at least one user script (even * scripts) to read any local file on your machine, or to list the contents of local directories. La falla permite a cualquier sitio web que coincide con al menos un script de usuario (incluso * scripts) para leer cualquier archivo local en su máquina, o para mostrar el contenido de los directorios locales. The flaw applies to Greasemonkey on all platforms. El fallo se aplica a Greasemonkey en todas las plataformas.

I’m working feverishly on a fix for this. Estoy trabajando febrilmente en una solución para este. But this will take several days. Pero esto tardará varios días. In the meantime, I strongly recommend that everyone either install Greasemonkey 0.3.5, or else disable or uninstall Greasemonkey completely. En el ínterin, yo recomiendo encarecidamente que todo el mundo o bien instalar Greasemonkey 0.3.5, o bien desactivar o desinstalar completamente Greasemonkey.

Gory Details Gory Detalles
There was a known security issue which was raised by Mark Pilgrim: Hubo un conocido problema de seguridad que fue planteada por Mark Pilgrim:

Last week I showed that the complete text of every single one of your La semana pasada puso de manifiesto que el texto completo de cada uno de sus
locally-installed user scripts could be leaked to remote sites ( localmente instalado scripts de usuario podría ser filtrados a sitios remotos (
http://diveintogreasemonkey.org/experiments/script-leak.html ), and http://diveintogreasemonkey.org/experiments/script-leak.html), y
the reaction from the GM developers was (paraphrasing) “Yeah, we know la reacción de los desarrolladores de GM fue de (parafraseando) "Sí, sabemos
about that, but we haven’t fixed it yet because it’s hard.” al respecto, pero no hemos fijado todavía, porque es difícil ".

Yesterday Godmar Back Ayer Godmar Volver raised a question on the same topic but wrt. planteó una pregunta sobre el mismo tema pero wrt. XmlHttpRequest XMLHttpRequest :

Would the same concern apply to GM’s XMLHttpRequest object? ¿La misma preocupación se aplica a GM del objeto XMLHttpRequest?

Could a malicious web site serve JavaScript that would create ¿Podría un sitio web malicioso servir JavaScript que creen
connections to domains other than the domain from which it came if the conexiones a dominios distintos del dominio de que si el vino
user has a GM script that is triggered for all pages, since the usuario tiene una secuencia de comandos de GM que se activa para todas las páginas, ya que el
GM_xmlhttprequest function object (or whatever it was called) will GM_xmlhttprequest función de objeto (o lo que se llamaba)
then exist in the environment of the page? entonces existen en el entorno de la página?

Mark Pilgrim Mark Pilgrim soon realized the full impact of this vulnerability. pronto se dieron cuenta todo el impacto de esta vulnerabilidad. In En his words sus palabras :

This particular exploit is much, much worse than I thought. Este exploit es mucho, mucho peor de lo que yo pensaba.
GM_xmlhttpRequest can successfully “GET” any world-readable file on GM_xmlhttpRequest éxito "GET" todo mundo de lectura de archivos en
your local computer. su computadora local.

http://diveintogreasemonkey.org/experiments/localfile-leak.html
returns the contents of c:\boot.ini, which exists on most modern devuelve el contenido de c: \ boot.ini, que existe en la mayoría de modernos
Windows systems. Sistemas Windows.

But wait, it gets worse. Pero espere, que empeora. An attacker doesn’t even need to know the Un atacante ni siquiera necesita conocer la
exact filename, since “GET”ting a URL like “file:///c:/” will return a nombre exacto del fichero, ya que "GET" ting una URL del tipo "file: / / / C: /" devolverá un
parseable directory listing. parseable el listado de directorios. (And Mac users don’t get to gloat (Y los usuarios de Mac no llegar a gloat
either; you’re just as vulnerable, starting with a different root o bien, eres igual de vulnerable, comenzando con una raíz diferente
URL.)

In other words, running a Greasemonkey script on a site can expose the En otras palabras, ejecutar un script de Greasemonkey en un sitio puede exponer la
contents of every file on your local hard drive to that site. contenido de cada archivo en su disco duro local a ese sitio. Running Atletismo
a Greasemonkey script with “@include *” (which, BTW, is the default if un script de Greasemonkey con "@ * incluir" (que, BTW, es el valor por defecto si
no parameter is specified) can expose the contents of every file on parámetro no se especifica) puede exponer el contenido de cada archivo en
your local hard drive to every site you visit. el disco duro local para cada sitio que visite. And, because Y, porque
GM_xmlhttpRequest can use POST as well as GET, an attacker can quietly GM_xmlhttpRequest puede usar POST, así como GET, un atacante puede tranquilamente
send this information anywhere in the world. enviar esta información en cualquier parte del mundo.

He soon came back with the suggestion to immediately Pronto regresó con la sugerencia de inmediato uninstall GreaseMonkey desinstalar Greasemonkey (found via (que se encuentran a través de Anil Dash’s blog Anil Dash's blog ).

> So what is the short term strategy for not exposing yourself to > ¿Cuál es la estrategia a corto plazo para no exponer a ti mismo
> malicious attacks, barring making the monkey frown until a real fix is > Ataques maliciosos, salvo que el mono frown hasta una verdadera solución es
> released? > Liberados?
>
> I’ve already turned off all the scripts that run on every site. > Ya he desactivado todos los scripts que se ejecutan en cada sitio. What Qué
> else should I do? > Más debo hacer?

Uninstall Greasemonkey altogether. Greasemonkey desinstalar por completo. At this point, I don’t trust En este momento, no confío
having it on my computer at all. I would think that whoever is in tenerlo en mi equipo en absoluto. creo que quien está en
charge of addons.mozilla.org should immediately remove the cargo de addons.mozilla.org debe eliminar inmediatamente la
Greasemonkey XPI and post a large warning in its place advising people Greasemonkey XPI y después una gran advertencia en el lugar que le corresponde asesorar a las personas
to uninstall it. para desinstalarlo.

By the way, “Greasemonkey Hacks” is DEAD until we fix this. Por cierto, "Greasemonkey Hacks" está muerto hasta que solucionar este problema. And I’m Y yo estoy
posting a big red blinking warning on every page of la publicación de una gran alerta roja parpadeante en todas las páginas de
diveintogreasemonkey.org advising visitors to uninstall it, until all diveintogreasemonkey.org asesorar a los visitantes al desinstalarlo, hasta que todos los
of these security holes are closed. de estos agujeros de seguridad están cerradas. This is why God invented the Esta es la razón por la que Dios inventó el
tag. etiqueta.

Good job Mark! Mark buen trabajo!