Sicherheitsloch in Greasemonkey

Greasemonkey ist sehr praktisch, hat aber im Moment eine riesige Sicherheitslücke. Webseiten, auf denen Greasemonkey ausgeführt wird, können beliebige Dateien von der Festplatte des Benutzers lesen. Mark Pilgrim schreibt dazu:

In other words, running a Greasemonkey script on a site can expose the contents of every file on your local hard drive to that site. Running a Greasemonkey script with “@include *” (which, BTW, is the default if no parameter is specified) can expose the contents of every file on your local hard drive to every site you visit. And, because GM_xmlhttpRequest can use POST as well as GET, an attacker can quietly send this information anywhere in the world.

Man sollte also entweder Greasemonkey bis auf weiteres deinstallieren oder durch eine kastrierte Version ersetzen.

Ähnliche Artikel:

Mitreden