Greasemonkey 安全問題
建議:暫時先把 greasemonkey 關掉吧。
剛剛從 Waxy Links 得到的消息,說是 greasemonkey 有重大的安全方面漏洞,網站可以自由取得使用者硬碟裡的任何檔案並傳送到任何地方去。目前的建議是,在還沒有 bugfix 前,先把它 disable 或是 uninstall 吧。
2005/07/21 Update : 這裡有一篇比較詳細的介紹。
Technorati Tags: greasemonkey, security
Comments
Comment from shakalaca
Date: 2005/7/19, 9:31 下午
討論串好多, 不過我用 0.3.3 測試沒看到內容 ? 是有特定版本嗎 ?
Comment from Xanatos
Date: 2005/7/19, 10:55 下午
好像是 @include=* 的插件才會有問題
我把user script 內有 @include=* 指令關掉後
再測試一遍不會有問題發生
新版的0.3.5 把GM_xmlhttpRequest等功能都關閉
作者建議先更新到 0.3.5 可是user script有些功能會無法使用 :(
Comment from Fermi
Date: 2005/7/20, 1:50 上午
已經更新到0.35了,強制升級的..XD
Trackback from 薄荷
Date: 2005/7/21, 4:59 上午
Greasemonkey 的安全性問題與 GM API 偵測方法
昨天 Greasemonkey 發出了緊急公告 - Mandatory Greasemonkey Update, 表示使用 Greasemonkey 0.3.5 之前或早期的 0.4 alpha 的版本, 有嚴重的安全性問題. 這個安全性問題來自 GM API 中的 GM_xmlhttpRequest, 電腦本機中…
Write a comment