GreaseMonkey 윤활제 is a popular Firefox extension which allows lots of great enhancements to your browser using third party GreaseMonkey scripts. 확장 기능이 인기가 많은 향상된 기능을 브라우저 수있는 제 3 자의 윤활제를 사용하여 스크립트를합니다. Yesterday a serious security vulnerability was found which exposes the hard drive content of GreaseMonkey users to any website you visit. 어제에 심각한 보안 취약점이 발견의 내용은 하드 드라이브를 제공 윤활제를 사용자에게 어떤 웹사이트를 방문합니다. Windows as well as Mac users are affected. 창에 물론 맥 사용자들이 영향을받는합니다. And there is more. 그리고 여기에는 더 많은합니다. Here are the gory details. 불쾌한 세부 사항은 다음과 같습니다.

Summary 요약
For the impatient here is the 여기가 바로 참을성을 summary from GreaseBlog 요약에서 greaseblog :

Yesterday, Mark Pilgrim discovered and announced a very serious security vulnerability in Greasemonkey. 어제, 마크 순례자의 보안 취약점을 발견하고 윤활제 매우 심각한 발표했다. The flaw allows any website which matches at least one user script (even * scripts) to read any local file on your machine, or to list the contents of local directories. 이 결함과 일치를 사용하는 모든 웹사이트에 적어도 하나의 사용자 스크립트 (심지어 * 스크립트) 컴퓨터에 로컬 파일을 읽을 수있습니다, 또는 로컬 디렉토리의 내용을 나열합니다. The flaw applies to Greasemonkey on all platforms. 모든 플랫폼에서 기름이 결함 제품에 적용됩니다.

I’m working feverishly on a fix for this. 나는이 작업에 대한 수정 프로그램을 광란하고있습니다. But this will take several days. 하지만 며칠이 걸릴합니다. In the meantime, I strongly recommend that everyone either install Greasemonkey 0.3.5, or else disable or uninstall Greasemonkey completely. 한편, 나 윤활제 0.3.5 설치하는 것을 강력히 권고합니다 모두들 중 하나, 또는 다른 사람을 해제하거나 제거하는 윤활제 완벽합니다.

Gory Details 불쾌한 세부 사항
There was a known security issue which was raised by Mark Pilgrim: 잘 알려진 보안상의 문제가 제기되는했던 마크 순례자 :

Last week I showed that the complete text of every single one of your 지난주에 나는 하나하나에 따르면 하나의 전체 텍스트를
locally-installed user scripts could be leaked to remote sites ( - 설치된 사용자 스크립트를 로컬로 유출 수도를 원격 사이트 (
http://diveintogreasemonkey.org/experiments/script-leak.html ), and http://diveintogreasemonkey.org/experiments/script-leak.html), 그리고
the reaction from the GM developers was (paraphrasing) “Yeah, we know 유전자 조작의 개발자의 반응은 (paraphrasing) "그래, 우리가 알고
about that, but we haven’t fixed it yet because it’s hard.” 에 대해,하지만 우리의 하드하기 때문에 아직 해결하지 않은합니다. "

Yesterday Godmar Back 어제 godmar 위로 raised a question on the same topic but wrt. 동일한 주제에 질문을 제기하지만 wrt합니다. XmlHttpRequest 확장 기능이나 XMLHttpRequest :

Would the same concern apply to GM’s XMLHttpRequest object? 동일한 관심사는 유전자 조작의 확장 기능이나 XMLHttpRequest 개체에 적용됩니다?

Could a malicious web site serve JavaScript that would create 이 자바 스크립트가 생성하는 악의적인 웹 사이트를 검색
connections to domains other than the domain from which it came if the 도메인 이외의 도메인을 연결하면 그것왔다
user has a GM script that is triggered for all pages, since the 사용자가 모든 페이지에 대한 유전자 조작 스크립트가가 발생이기 때문에,
GM_xmlhttprequest function object (or whatever it was called) will gm_xmlhttprequest 기능을 개체 (또는 무엇이라 불렸다)은
then exist in the environment of the page? 다음 페이지의 환경에서 존재하는가?

Mark Pilgrim 마크 순례자 soon realized the full impact of this vulnerability. 이 취약점의 영향을 곧 깨달의 전체합니다. In 안에 his words 그의 말을 :

This particular exploit is much, much worse than I thought. 이 특정 악용 훨씬, 훨씬 더 나쁜 생각했던 것보다합니다.
GM_xmlhttpRequest can successfully “GET” any world-readable file on 성공적으로 gm_xmlhttprequest 수있습니다 ""파일을 읽을 수 어떠한 세계 -
your local computer. 귀하의 로컬 컴퓨터에있습니다.

http://diveintogreasemonkey.org/experiments/localfile-leak.html
returns the contents of c:\boot.ini, which exists on most modern 의 내용을 반환합니다 c : \ boot.ini, 대부분의 현대적인 어떤 존재합니다
Windows systems. 윈도우 시스템합니다.

But wait, it gets worse. 하지만 잠깐 만요, 상황이 더 나빠지고있습니다. An attacker doesn’t even need to know the 공격자가을 알고도 필요하지 않습니다
exact filename, since “GET”ting a URL like “file:///c:/” will return a 정확한 파일 이름, 이후 ""ting a url처럼 "파일 : / / / c : /"가를 반환
parseable directory listing. 디렉토리 목록 구문 분석합니다. (And Mac users don’t get to gloat (그리고 맥 사용자가 할 수 없으 게야
either; you’re just as vulnerable, starting with a different root 중, 당신도 나와 같은 취약로 시작하는 다른 루트
URL.) url합니다.)

In other words, running a Greasemonkey script on a site can expose the 즉, 스크립트를 실행하는 사이트에서 노출되는 윤활제
contents of every file on your local hard drive to that site. 모든 파일의 내용을 로컬 하드 드라이브를 해당 사이트를합니다. Running 실행
a Greasemonkey script with “@include *” (which, BTW, is the default if a 윤활제 스크립트를 "@ 포함 *"(참, 그런데,이 기본이
no parameter is specified) can expose the contents of every file on 지역 매개 변수를 지정)는 모든 파일의 내용을 폭로
your local hard drive to every site you visit. 당신의 로컬 하드 드라이브에있는 모든 사이트를 방문합니다. And, because 그리고, 왜냐하면
GM_xmlhttpRequest can use POST as well as GET, an attacker can quietly 게시물뿐만 아니라 사용할 수있습니다 gm_xmlhttprequest을 받게 될지, 공격자가 조용하게 수있습니다
send this information anywhere in the world. 세계 어디에도 이러한 정보가 전송합니다.

He soon came back with the suggestion to immediately 그는 곧의 제안을 즉시과 함께 돌아 uninstall GreaseMonkey 제거하는 윤활제 (found via (발견을 통해 Anil Dash’s blog anil 대시의 블로그 ).

> So what is the short term strategy for not exposing yourself to > 그래서 단기적인 전략은 무엇입니까을 노출시킬 수 없다
> malicious attacks, barring making the monkey frown until a real fix is > 악의적인 공격, barring 실제 수정 프로그램을 만들기 전까지 원숭이 싫어하기
> released? > 출시됩니까?
>
> I’ve already turned off all the scripts that run on every site. > 나는 이미 해제되어 모든 사이트에서 실행되는 모든 스크립트를합니다. What 무슨
> else should I do? > 다른 사람해야합니까?

Uninstall Greasemonkey altogether. 기름을 모두 제거합니다. At this point, I don’t trust 이 시점에서, 난 믿을 수 없어요
having it on my computer at all. I would think that whoever is in 내 컴퓨터에 그것을 모두합니다. 나는 누구든지이 그렇게 생각하니
charge of addons.mozilla.org should immediately remove the 제거하는 즉시 담당 addons.mozilla.org
Greasemonkey XPI and post a large warning in its place advising people 윤활제 및 게시 xpi 자문 사람들을 그 자리에 대형 경고
to uninstall it. 그것을 제거합니다.

By the way, “Greasemonkey Hacks” is DEAD until we fix this. 그런데, "기름 hacks"는 죽은 전까지는 해결합니다. And I’m 그리고 난
posting a big red blinking warning on every page of 게시물의 모든 페이지에 커다란 빨간색 점멸 경고
diveintogreasemonkey.org advising visitors to uninstall it, until all 상담 diveintogreasemonkey.org 방문자를 제거합니다 전까지는 모든
of these security holes are closed. 이러한 보안의 구멍은 폐쇄합니다. This is why God invented the 이것은 왜 하나님 께서 발명
tag. 태그를합니다.

Good job Mark! 좋은 직업 마크를 위하여!