Greasemonkey にセキュリティ上の欠陥

Greasemonkey にセキュリティ上の欠陥 3

ストーリー by Acanthopanax 2005年07月21日 20時05分
使用の方を対処を部門より

slashdotted曰く、"CNET Japanの記事経由。Mozilla firefoxのアドオン拡張であるGreasemonkeyにセキュリティ上の欠陥が発見された(→参考: Greaseblog)。この欠陥を悪用された場合、ユーザPCのローカルHDDの内容が読み取られる可能性があるという。
なお、この不具合は「初期の0.4alpha版を含む全バージョン」に存在するとしている。mozdev.orgによると、この欠陥への対策を施した最新バージョンとなる0.3.5がリリースされている。この版では一部のAPI(GM_xmlhttpRequest)が削除されており、これらに依存するスクリプトは動作しなくなる、としている。"

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索3コメント Log In/Create an Account

GM* APIの削除は一時的なもの (スコア:1)

by SassyOS2 (8523) on 2005年07月21日 23時14分 (#770178) ホームページ日記

別ストーリーのコメント「以前から指摘されていたことです」 [srad.jp]で書かなかったことを。
以前からGreasemonkeyのセキュリティ上の危険性は指摘されていました。そのため今回の修正版の提供ではGM* APIがdisableされますが，将来のバージョンでこれらのAPIが（きっと修正されて）復活するということです。それまでは「Greasemonkeyの利用を中止するか，0.3.5へアップデートしてください」ということのようです。
- mozillaZine日本語版より (スコア:1)
  
  by SassyOS2 (8523) on 2005年07月23日 21時25分 (#771116) ホームページ日記
  
  Grasemonkey に重大なセキュリティ脆弱性が発見される [mozillazine.jp]によれば、
  
  セキュリティの問題はこれまでにも浮上したが、これらの心配は悪意のあるユーザスクリプトが開発されるのではないかというものであり、Greasemonkey 自身がユーザを危険にさらすのでは、というものではなかった。
  
  とあり、今回の脆弱性は以前のセキュリティ上の指摘とは異なるという見解が示されていました。
  
  ところで同じmozillaZine記事は、タレコミ中のCNetの記事について「人気の拡張機能の背後に Mozilla Foundation がいるかのような誤った言及」があると不満を漏らしています。この辺は仕方がない気がしますが。:-P
  
  シェア
  
  親コメント
新版0.5betaが出ました！ (スコア:1)

by SassyOS2 (8523) on 2005年08月03日 1時52分 (#776055) ホームページ日記

FirefoxのGreasemonkey拡張、新版0.5のβリリース [itmedia.co.jp]

# なぜか今の時間帯「mozdev.org が見つかりません」となってしまうのですが。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

普通のやつらの下を行け -- バッドノウハウ専門家

Greasemonkey にセキュリティ上の欠陥 3

Greasemonkey にセキュリティ上の欠陥 More ログイン

GM* APIの削除は一時的なもの (スコア:1)

mozillaZine日本語版より (スコア:1)

新版0.5betaが出ました！ (スコア:1)

スラド