GreaseMonkey est une prolongation populaire de Firefox qui permet un bon nombre de grands perfectionnements � votre navigateur utilisant des manuscrits de GreaseMonkey de tiers. Hier on a trouv� une faille de la s�curit� s�rieuse qui expose la teneur en unit� de disque dur des utilisateurs de GreaseMonkey � n'importe quel site Web que vous visitez. Windows aussi bien que des utilisateurs de Mac est affect�. Et il y a plus. Voici les d�tails sanglants.

R�sum�
Pour l'impatient voici le r�sum� de GreaseBlog :

Hier, le p�lerin de marque a d�couvert et a annonc� une faille de la s�curit� tr�s s�rieuse dans Greasemonkey. La paille permet n'importe quel site Web qui assortit au moins un manuscrit d'utilisateur (m�me * des manuscrits) pour lire n'importe quel dossier local sur votre machine, ou pour �num�rer le contenu des r�pertoires locaux. La paille s'applique � Greasemonkey sur toutes les plates-formes.

Je travaille fi�vreusement sur une difficult� pour ceci. Mais ceci prendra plusieurs jours. En attendant, je recommande vivement que chacun installent Greasemonkey 0.3.5, ou bien d�sactive ou d�sinstalle Greasemonkey compl�tement.

D�tails sanglants
Il y avait un probl�me de s�curit� connu qui a �t� �lev� par Mark Pilgrim :

La semaine derni�re j'ai montr� � cela le texte complet de chaque simple de votre
des manuscrits local-install�s d'utilisateur ont pu �tre coul�s aux emplacements � distance (
http://diveintogreasemonkey.org/experiments/script-leak.html), et
la r�action des r�alisateurs de GM �tait (paraphrasant) ��ouais, nous savent
� ce sujet, mais nous ne l'ont pas fix� encore parce qu'il est dur. ��

Hier le dos de Godmar a soulev� une question sur la m�me mati�re mais le WRT. XmlHttpRequest :

Le m�me souci s'appliquerait-il � l'objet de XMLHttpRequest du GM ?

Pourrait un Javascript malveillant de service de site Web qui cr�erait
raccordements aux domaines autres que le domaine duquel il est venu si
l'utilisateur a un manuscrit de GM qui est d�clench� pour toutes les pages, depuis
L'objet de fonction de GM_xmlhttprequest (ou celui qu'il se soit appel�)
existez alors dans l'environnement de la page ?

Marquez le p�lerin a bient�t r�alis� le plein impact de cette vuln�rabilit�. Dans ses mots :

Cette exploit particuli�re est beaucoup, beaucoup plus mauvais que la pens�e d'I.
GM_xmlhttpRequest peut avec succ�s ��R�USSIR�� n'importe quel dossier monde-lisible
votre ordinateur local.

http://diveintogreasemonkey.org/experiments/localfile-leak.html
renvoie le contenu de c:\boot.ini, qui existe sur plus moderne
Syst�mes de Windows.

Mais attente, ce devient plus mauvais. Un attaquant n'a pas besoin m�me de savoir
exigez le nom de fichier, puisque ��OBTENEZ " teintent un URL comme ��file:///c:/�� renverra a
liste parseable d'annuaire. (Et les utilisateurs de Mac n'obtiennent pas de se r�jouir
l'un ou l'autre ; vous �tes juste comme vuln�rable, commen�ant par une racine diff�rente
URL.)

En d'autres termes, le fonctionnement d'un manuscrit de Greasemonkey sur un emplacement peut exposer
contenu de chaque dossier sur votre unit� de disque dur locale � cet emplacement. Fonctionnement
un manuscrit de Greasemonkey avec le ��@include *�� (qui, BTW, est le d�faut si
aucun param�tre n'est sp�cifi�) peut exposer le contenu de chaque dossier dessus
votre unit� de disque dur locale � chaque emplacement que vous visitez. Et, parce que
GM_xmlhttpRequest peut utiliser le POTEAU aussi bien qu'OBTIENNENT, un attaquant peut tranquillement
envoyez cette information n'importe o� dans le monde.

Il est bient�t revenu avec la suggestion pour d�sinstaller imm�diatement GreaseMonkey (trouv� par l'interm�diaire du blog du tiret d'Anil).

> ainsi � ce qu'est la strat�gie � court terme pour ne pas s'exposer
> les attaques malveillantes, except� faire le froncement des sourcils de singe jusqu'� une vraie difficult� est
> a lib�r� ?
>
> j'ai d�j� arr�t� tous les manuscrits qui fonctionnent sur chaque emplacement. Ce qui
est-ce que > autrement je devrais faire ?

D�sinstallez Greasemonkey tout � fait. En ce moment, je ne fais pas confiance
l'avoir sur mon ordinateur du tout. Je penserais que celui qui est dedans
la charge d'addons.mozilla.org devrait imm�diatement enlever
Greasemonkey XPI et signalent un grand avertissement dans son endroit conseillant des personnes
pour le d�sinstaller.

D'ailleurs, les ��entailles de Greasemonkey�� est MORTE jusqu'� ce que nous fixions ceci. Et je suis
signalisation d'un grand avertissement rouge de clignotement � chaque page de
diveintogreasemonkey.org conseillant des visiteurs de le d�sinstaller, jusqu'� tous
de ces trous de s�curit� soyez ferm�. C'est pourquoi Dieu a invent�
�tiquette.

Bonne marque du travail !