בעיות אבטחה עם ההרחבה GreaseMonkey

אמש התגלתה בעית אבטחה חמורה בשימוש בהרחבה GreaseMonkey בגירסאות מאוחרות ל-0.3.5 או גירסאות אלפא של 0.4. הבעיה מאפשרת לאתרים לקרוא תוכן תיקיות וקבצים בדיסק הקשיח באמצעות XmlHttpRequest, בכל הפלטפורמות, כאשר חייב להיות משוייך לאתר תסריט GM כלשהו.

הבעיה נובעת משינויים שנעשו ב-API של ההרחבה על-מנת לתת לה כוח נוסף מעבר לכוח שיש לתסריטי ג'אווה-סקריפט ב-HTML. עד לתיקון הבעיה יעברו מספר ימים, וההמלצה היא או להשתמש בגירסה 0.3.5 או להסיר/לבטל את ההרחבה. שימו לב כי הרחבות שמשתמשות ב-API המתקדם יותר תחדלנה מלתפקד בגירסה זו.

יש שיגידו שמדובר בתופעת הלוואי של מוצרים כשהם מגיעים ל-Mainstream, ויש שיגידו כי מדובר פשוט בהרחבה שנותנת יותר מידי כוח לתסריטי משתמש.

למידע נוסף: Greaseblog: Mandatory Greasemonkey Update

כתיבת תגובה

האימייל לא יוצג באתר. (*) שדות חובה מסומנים

תגי HTML מותרים: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>