GreaseMonkey is a popular Firefox extension which allows lots of great enhancements to your browser using third party GreaseMonkey scripts. è una popolare estensione per Firefox che consente di partite di grande miglioramenti al browser di terze parti utilizzando GreaseMonkey script. Yesterday a serious security vulnerability was found which exposes the hard drive content of GreaseMonkey users to any website you visit. Ieri una grave vulnerabilità di sicurezza è stato riscontrato che espone il contenuto del disco rigido di GreaseMonkey agli utenti di qualsiasi sito Web, visitare il sito Web. Windows as well as Mac users are affected. Windows così come gli utenti Mac sono interessati. And there is more. E non c'è più. Here are the gory details. Ecco i dettagli scabrosi.

Summary Massima
For the impatient here is the Per il impaziente qui è il summary from GreaseBlog sintesi da GreaseBlog :

Yesterday, Mark Pilgrim discovered and announced a very serious security vulnerability in Greasemonkey. Ieri, Mark Pilgrim scoperto e ha annunciato un gravissimo problema di protezione in Greasemonkey. The flaw allows any website which matches at least one user script (even * scripts) to read any local file on your machine, or to list the contents of local directories. Il difetto consente a qualsiasi sito web che corrisponda almeno un utente di script (anche script *) per leggere qualsiasi file locale sul tuo computer, o per visualizzare il contenuto di directory locali. The flaw applies to Greasemonkey on all platforms. Il difetto si applica a Greasemonkey su tutte le piattaforme.

I’m working feverishly on a fix for this. Sto lavorando feverishly su una correzione per questo. But this will take several days. Ma ciò richiedere diversi giorni. In the meantime, I strongly recommend that everyone either install Greasemonkey 0.3.5, or else disable or uninstall Greasemonkey completely. Nel frattempo, consigliamo vivamente di tutti o installare Greasemonkey 0.3.5, oppure disattivare o disinstallare completamente Greasemonkey.

Gory Details Goria Dettagli
There was a known security issue which was raised by Mark Pilgrim: Vi è stato un noto problema di protezione che è stata sollevata da Mark Pilgrim:

Last week I showed that the complete text of every single one of your La settimana scorsa ho mostrato che il testo completo di ogni singolo uno dei tuoi
locally-installed user scripts could be leaked to remote sites ( - installato localmente utente script potrebbe essere fuoriuscito a siti remoti (
http://diveintogreasemonkey.org/experiments/script-leak.html ), and http://diveintogreasemonkey.org/experiments/script-leak.html), e
the reaction from the GM developers was (paraphrasing) “Yeah, we know la reazione della GM è stato sviluppatori (parafrasando) "Sì, sappiamo
about that, but we haven’t fixed it yet because it’s hard.” su questo, ma non abbiamo fissato ancora, perché è difficile ".

Yesterday Godmar Back Torna ieri Godmar raised a question on the same topic but wrt. ha sollevato una questione sullo stesso argomento, ma rispetto. XmlHttpRequest :

Would the same concern apply to GM’s XMLHttpRequest object? Sarebbe la stessa preoccupazione si applicano a GM's oggetto XMLHttpRequest?

Could a malicious web site serve JavaScript that would create Potrebbe un sito web "maligno" servire JavaScript che creerebbe
connections to domains other than the domain from which it came if the collegamenti a domini diversi dal dominio da cui ne è venuto se il
user has a GM script that is triggered for all pages, since the utente dispone di un GM script che è attivato per tutte le pagine, dal momento che la
GM_xmlhttprequest function object (or whatever it was called) will GM_xmlhttprequest funzione di oggetto (o quello che è stato chiamato)
then exist in the environment of the page? quindi esistono nel contesto di pagina?

Mark Pilgrim Mark Pilgrim soon realized the full impact of this vulnerability. presto realizzato appieno l'impatto di questa vulnerabilità. In his words le sue parole :

This particular exploit is much, much worse than I thought. Sfruttare questo particolare è molto, molto peggiore di quello ho pensato.
GM_xmlhttpRequest can successfully “GET” any world-readable file on GM_xmlhttpRequest può successo "GET" mondo qualsiasi file leggibile da chiunque su
your local computer. computer locale.

http://diveintogreasemonkey.org/experiments/localfile-leak.html
returns the contents of c:\boot.ini, which exists on most modern restituisce il contenuto di c: \ boot.ini, che esiste nella maggior parte dei moderni
Windows systems. Sistemi Windows.

But wait, it gets worse. Ma aspetta, c'è di peggio. An attacker doesn’t even need to know the Un utente malintenzionato non addirittura necessario conoscere il
exact filename, since “GET”ting a URL like “file:///c:/” will return a esatto nome del file, in quanto "GET" re un URL come "file: / / / c: /" restituisce un
parseable directory listing. mount directory. (And Mac users don’t get to gloat (E gli utenti Mac non arrivare a gloat
either; you’re just as vulnerable, starting with a different root o; sei proprio come vulnerabili, a partire da una diversa radice
URL.)

In other words, running a Greasemonkey script on a site can expose the In altre parole, l'esecuzione di uno script di Greasemonkey su un sito in grado di esporre il
contents of every file on your local hard drive to that site. contenuto di tutti i file presenti sul disco rigido locale a tale sito. Running In esecuzione
a Greasemonkey script with “@include *” (which, BTW, is the default if Greasemonkey uno script con "@ includere *" (che, BTW, è l'impostazione di default se
no parameter is specified) can expose the contents of every file on parametro non è specificato) può esporre il contenuto di tutti i file presenti su
your local hard drive to every site you visit. disco rigido locale per ogni sito, visitare il sito Web. And, because E, perché
GM_xmlhttpRequest can use POST as well as GET, an attacker can quietly GM_xmlhttpRequest possibile utilizzare POST e GET, un utente malintenzionato può tranquillamente
send this information anywhere in the world. inviare queste informazioni in qualsiasi parte del mondo.

He soon came back with the suggestion to immediately Egli tornò presto con il suggerimento di immediatamente uninstall GreaseMonkey disinstallare GreaseMonkey (found via (trovati tramite Anil Dash’s blog Anil Dash blog ).

> So what is the short term strategy for not exposing yourself to > Quindi, qual è la strategia di breve termine per non esporsi a te
> malicious attacks, barring making the monkey frown until a real fix is > Attacchi dannosi, rendendo il blocco scimmia frown fino a quando una vera e propria correzione è
> released? > Liberata?
>
> I’ve already turned off all the scripts that run on every site. > Ho già spento tutti gli script che vengono eseguiti su ogni sito. What Cosa
> else should I do? > Altro posso fare?

Uninstall Greasemonkey altogether. Greasemonkey disinstallare completamente. At this point, I don’t trust A questo punto, non ho fiducia
having it on my computer at all. I would think that whoever is in avendo sul mio computer a tutti. Mi pare che chi è in
charge of addons.mozilla.org should immediately remove the responsabile del addons.mozilla.org dovrebbe rimuovere immediatamente il
Greasemonkey XPI and post a large warning in its place advising people Greasemonkey XPI e inviare un avviso di grandi dimensioni al suo posto consulenza delle persone
to uninstall it. disinstallarlo.

By the way, “Greasemonkey Hacks” is DEAD until we fix this. A proposito, "Greasemonkey Hacks" è morto fino a quando non risolvere il problema. And I’m E sono
posting a big red blinking warning on every page of la pubblicazione di un grande rosso lampeggiante di avviso su ogni pagina del
diveintogreasemonkey.org advising visitors to uninstall it, until all diveintogreasemonkey.org consigliare ai visitatori di disinstallarlo, fino a quando tutti i
of these security holes are closed. di questi buchi di sicurezza sono chiuse. This is why God invented the Questo è il motivo per cui Dio ha inventato la
tag. etichetta.

Good job Mark! Mark buon lavoro!