GreaseMonkey 是使用第三方GreaseMonkey剧本,允许许多巨大改进对您的浏览器的一个普遍的Firefox引伸。 昨天的一个严肃的安全漏洞暴露GreaseMonkey用户硬盘内容到所有网站您参观找到。 并且Mac用户的Windows受影响。 并且有更多。 这血淋淋的细节。

总结
对于不耐烦这从 GreaseBlog的总结

昨天,标记香客发现了并且宣布了在Greasemonkey的一个非常严肃的安全漏洞。 缺点允许在您的机器匹配至少一个用户剧本的所有网站(*甚而剧本)读任何地方文件,或者列出地方目录内容。 缺点适用于在所有平台的Greasemonkey。

我在此的固定狂热工作。 但是这将需要几天。 同时,我强烈建议大家安装Greasemonkey 0.3.5,或者完全地使或者卸载Greasemonkey失去能力。

血淋淋的细节
有由Mark Pilgrim提出的已知的安全性问题:

上星期我显示了那全文每一一个您
地方安装的用户剧本能漏到远程站点(
http://diveintogreasemonkey.org/experiments/script-leak.html),和
从GM开发商的反应是(释义) “呀,我们知道
对此,而是我们,因为是坚硬的,未固定它。“

昨天Godmar后面 提出了对同一个题目,但是wrt的一个问题。 XmlHttpRequest

同样关心是否将适用于GM的XMLHttpRequest对象?

可能将创造的一种恶意网站服务Java语言
与领域的连接除它来自,如果的领域之外
用户有为所有页被触发的一个GM剧本,从
GM_xmlhttprequest作用对象(或什么它叫)将
然后存在页的环境里?

标记香客 很快体会这个弱点的充分的冲击。 在 他的词

这特殊盘剥比I想法是,坏。
GM_xmlhttpRequest可能“顺利地得到”所有世界可读的文件
您的本地计算机。

http://diveintogreasemonkey.org/experiments/localfile-leak.html
退回c:\boot.ini内容,在最现代存在
Windows系统。

但是等待,这变得更坏。 攻击者甚而不需要知道
苛求文件名,因为“得到"铃声URL,如“file:///c:/”将退回a
parseable目录目录。 (和Mac用户没得到注视
二者之一; 您是正脆弱,从不同的根开始
URL.)

换句话说,跑在站点的一个Greasemonkey剧本可能暴露
每个文件的内容在您的地方硬盘的对那个站点。 跑
与“@include的一个Greasemonkey剧本*” (BTW,是缺省,如果
参量没有指定)可能暴露每个文件的内容
您的对您参观的每个站点的地方硬盘。 并且,因为
GM_xmlhttpRequest可能使用岗位并且得到,攻击者平静地能
送这信息世界上任何地方。

他很快回来与建议立刻 卸载GreaseMonkey (被找到通过 Anil破折号的博客)。

>如此什么是不暴露的短期战略
>恶意攻击,除做直到真正的固定的猴子皱眉是
>发布?
>
>我已经关闭了在每个站点跑的所有剧本。 什么
>我应该做?

一共卸载Greasemonkey。 这时,我不信任
有它在我的计算机上。 我认为谁是
addons.mozilla.org充电应该立刻去除
Greasemonkey XPI和在劝告它的地方发出一次大警告人
卸载它。

顺便说一句, “Greasemonkey文丐”是死的,直到我们固定此。 并且我是
张贴一大红色眨眼睛警告在每页
劝告的diveintogreasemonkey.org访客卸载它,直到所有
这些安全漏洞是闭合的。 这就是为什么上帝发明了
标记。

好工作标记!