בעיות אבטחה עם ההרחבה GreaseMonkey

אמש התגלתה בעית אבטחה חמורה בשימוש בהרחבה GreaseMonkey בגירסאות מאוחרות ל-0.3.5 או גירסאות אלפא של 0.4. הבעיה מאפשרת לאתרים לקרוא תוכן תיקיות וקבצים בדיסק הקשיח באמצעות XmlHttpRequest, בכל הפלטפורמות, כאשר חייב להיות משוייך לאתר תסריט GM כלשהו.

הבעיה נובעת משינויים שנעשו ב-API של ההרחבה על-מנת לתת לה כוח נוסף מעבר לכוח שיש לתסריטי ג'אווה-סקריפט ב-HTML. עד לתיקון הבעיה יעברו מספר ימים, וההמלצה היא או להשתמש בגירסה 0.3.5 או להסיר/לבטל את ההרחבה. שימו לב כי הרחבות שמשתמשות ב-API המתקדם יותר תחדלנה מלתפקד בגירסה זו.

יש שיגידו שמדובר בתופעת הלוואי של מוצרים כשהם מגיעים ל-Mainstream, ויש שיגידו כי מדובר פשוט בהרחבה שנותנת יותר מידי כוח לתסריטי משתמש.

למידע נוסף: Greaseblog: Mandatory Greasemonkey Update

כתיבת תגובה