Greasemonkey にセキュリティ上の欠陥 3
ストーリー by Acanthopanax
使用の方を対処を 部門より
使用の方を対処を 部門より
slashdotted曰く、"CNET Japanの記事経由。Mozilla firefoxのアドオン拡張であるGreasemonkeyにセキュリティ上の欠陥が発見された(→参考: Greaseblog)。この欠陥を悪用された場合、ユーザPCのローカルHDDの内容が読み取られる可能性があるという。
なお、この不具合は「初期の0.4alpha版を含む全バージョン」に存在するとしている。mozdev.orgによると、この欠陥への対策を施した最新バージョンとなる0.3.5がリリースされている。この版では一部のAPI(GM_xmlhttpRequest)が削除されており、これらに依存するスクリプトは動作しなくなる、としている。"
GM* APIの削除は一時的なもの (スコア:1)
以前からGreasemonkeyのセキュリティ上の危険性は指摘されていました。そのため今回の修正版の提供ではGM* APIがdisableされますが,将来のバージョンでこれらのAPIが(きっと修正されて)復活するということです。それまでは「Greasemonkeyの利用を中止するか,0.3.5へアップデートしてください」ということのようです。
mozillaZine日本語版より (スコア:1)
とあり、今回の脆弱性は以前のセキュリティ上の指摘とは異なるという見解が示されていました。
ところで同じmozillaZine記事は、タレコミ中のCNetの記事について「人気の拡張機能の背後に Mozilla Foundation がいるかのような誤った言及」があると不満を漏らしています。この辺は仕方がない気がしますが。:-P
新版0.5betaが出ました! (スコア:1)
# なぜか今の時間帯 「mozdev.org が見つかりません」となってしまうのですが。