GreaseMonkey Greasemonkey is a popular Firefox extension which allows lots of great enhancements to your browser using third party GreaseMonkey scripts. é uma extensão popular do Firefox que permite que lotes de grandes melhorias no seu navegador usando terceiros Greasemonkey scripts. Yesterday a serious security vulnerability was found which exposes the hard drive content of GreaseMonkey users to any website you visit. Ontem uma vulnerabilidade de segurança grave foi encontrado o que expõe o conteúdo do disco rígido Greasemonkey usuários a qualquer site que você visita. Windows as well as Mac users are affected. Windows Mac, bem como os utilizadores são afectados. And there is more. E há mais. Here are the gory details. Aqui estão os goria mais detalhes.

Summary Resumo
For the impatient here is the Para os impacientes aqui é o summary from GreaseBlog sumário de GreaseBlog :

Yesterday, Mark Pilgrim discovered and announced a very serious security vulnerability in Greasemonkey. Ontem, Mark Pilgrim descobriu e anunciou uma vulnerabilidade de segurança muito graves no Greasemonkey. The flaw allows any website which matches at least one user script (even * scripts) to read any local file on your machine, or to list the contents of local directories. A falha permite que qualquer site que corresponda, pelo menos, um script usuário (mesmo * scripts) para ler qualquer arquivo local em sua máquina, ou para listar o conteúdo de diretórios locais. The flaw applies to Greasemonkey on all platforms. A falha é aplicável aos Greasemonkey em todas as plataformas.

I’m working feverishly on a fix for this. Feverishly Estou trabalhando em uma correção para isto. But this will take several days. Mas isto irá demorar vários dias. In the meantime, I strongly recommend that everyone either install Greasemonkey 0.3.5, or else disable or uninstall Greasemonkey completely. Enquanto isso, recomendo vivamente que toda a gente quer instalar Greasemonkey 0.3.5, ou então, desativar ou desinstalar Greasemonkey completamente.

Gory Details Detalhes goria
There was a known security issue which was raised by Mark Pilgrim: Havia uma questão de segurança conhecidas que foi levantada por Mark Pilgrim:

Last week I showed that the complete text of every single one of your Na semana passada, mostrou que o texto completo de cada um de seus
locally-installed user scripts could be leaked to remote sites ( - instalado localmente scripts usuário poderá ser divulgada para sites remotos (
http://diveintogreasemonkey.org/experiments/script-leak.html ), and http://diveintogreasemonkey.org/experiments/script-leak.html), e
the reaction from the GM developers was (paraphrasing) “Yeah, we know a reacção por parte da GM foi desenvolvedores (paraphrasing) "Sim, nós sabemos
about that, but we haven’t fixed it yet because it’s hard.” sobre isso, mas temos ainda não é fixo porque é difícil. "

Yesterday Godmar Back Ontem Godmar Back raised a question on the same topic but wrt. levantou uma questão sobre o mesmo tema, mas wrt. XmlHttpRequest :

Would the same concern apply to GM’s XMLHttpRequest object? Estaria a mesma preocupação se aplica aos OGM's objecto XMLHttpRequest?

Could a malicious web site serve JavaScript that would create Um web site malicioso poderia servir JavaScript que criaria
connections to domains other than the domain from which it came if the ligações a outros domínios além do domínio a partir da qual se chegou a se
user has a GM script that is triggered for all pages, since the GM usuário tem um script que é acionado para todas as páginas, uma vez que o
GM_xmlhttprequest function object (or whatever it was called) will GM_xmlhttprequest função objeto (ou o que era chamado) irá
then exist in the environment of the page? então existem no meio da página?

Mark Pilgrim Mark Pilgrim soon realized the full impact of this vulnerability. logo percebeu o pleno impacto desta vulnerabilidade. In Em his words suas palavras :

This particular exploit is much, much worse than I thought. Isto é especialmente explorar muito, muito pior do que eu pensava.
GM_xmlhttpRequest can successfully “GET” any world-readable file on GM_xmlhttpRequest pode com sucesso "GET" qualquer arquivo de leitura no mundo
your local computer. seu computador local.

http://diveintogreasemonkey.org/experiments/localfile-leak.html
returns the contents of c:\boot.ini, which exists on most modern retorna o conteúdo de c: \ boot.ini, que existe em mais moderno
Windows systems. Sistemas Windows.

But wait, it gets worse. Mas espere, torna-se pior. An attacker doesn’t even need to know the Um atacante nem sequer precisam de saber o
exact filename, since “GET”ting a URL like “file:///c:/” will return a filename exato, uma vez que "GET" ção uma URL, como "file: / / / c: /" irá retornar um
parseable directory listing. parseable uma listagem do diretório. (And Mac users don’t get to gloat (E Mac usuários não recebem a gloat
either; you’re just as vulnerable, starting with a different root quer, você está tão vulnerável, começando com uma raiz diferente
URL.)

In other words, running a Greasemonkey script on a site can expose the Em outras palavras, a correr um script Greasemonkey em um site pode expor o
contents of every file on your local hard drive to that site. conteúdo de cada arquivo no seu disco rígido para que o site. Running Corrida
a Greasemonkey script with “@include *” (which, BTW, is the default if Greasemonkey um script com "@ incluem: *" (que, BTW, é o padrão se
no parameter is specified) can expose the contents of every file on parâmetro não é especificado) pode expor o conteúdo de cada arquivo em
your local hard drive to every site you visit. seu disco rígido local para todos os sites que você visita. And, because E, uma vez
GM_xmlhttpRequest can use POST as well as GET, an attacker can quietly GM_xmlhttpRequest pode usar POST bem como GET, um invasor pode calmamente
send this information anywhere in the world. enviar esta informação em qualquer lugar do mundo.

He soon came back with the suggestion to immediately Ele logo voltou com a sugestão de imediato uninstall GreaseMonkey desinstalar Greasemonkey (found via (encontrados através de Anil Dash’s blog Anil Dash's blog ).

> So what is the short term strategy for not exposing yourself to > Então, qual é a estratégia de curto prazo não expor a si mesmo
> malicious attacks, barring making the monkey frown until a real fix is > Ataques maliciosos, tornando o barramento macaco frown até se fixar um real
> released? > Liberado?
>
> I’ve already turned off all the scripts that run on every site. > Eu já desligado todos os scripts que são executados em cada local. What Que
> else should I do? > Mais devo fazer?

Uninstall Greasemonkey altogether. Desinstalar o Greasemonkey totalmente. At this point, I don’t trust Neste ponto, eu não confio
having it on my computer at all. I would think that whoever is in tendo-lo no meu computador em tudo. Eu acho que quem está em
charge of addons.mozilla.org should immediately remove the encargo de addons.mozilla.org deve retirar imediatamente a
Greasemonkey XPI and post a large warning in its place advising people Greasemonkey XPI e pós um grande aviso em seu lugar aconselhamento das pessoas
to uninstall it. a desinstalá-lo.

By the way, “Greasemonkey Hacks” is DEAD until we fix this. A propósito, "Greasemonkey Hacks" está morta enquanto não resolver isso. And I’m E devo dizer que estou
posting a big red blinking warning on every page of destacamento um grande aviso vermelho piscando em todas as páginas do
diveintogreasemonkey.org advising visitors to uninstall it, until all diveintogreasemonkey.org aconselhando os visitantes a desinstalá-la, até que todos os
of these security holes are closed. destas falhas de segurança estão fechadas. This is why God invented the É por isso que Deus inventou a
tag.

Good job Mark! Mark bom trabalho!