Sicherheitslücke in Firefox-Erweiterung Greasemonkey

Die Herausgeber der Firefox-Extension Greasemonkey warnen vor einer schweren Sicherheitslücke, die es Angreifern ermöglicht, beliebige Dateien auf dem System des Opfers auszulesen. Greasemonkey ermöglicht es, Webseiten durch vom Benutzer vorgegebene JavaScripts aufzupeppen oder auszubessern (siehe dazu auch den Artikel Feintuning fürs Surfbrett, Mit User JavaScript Websites im Browser anpassen, in Ausgabe 12/05 von c't, S. 208).

Von der Sicherheitslücke betroffen sind alle Versionen vor 3.5 sowie die 4.0-Alpha-Versionen. Jede Webseite, auf die zumindest ein Greasemonkey-Skript angewandt wird, kann Dateien beim Besucher auslesen; etliche Greasemonkey-Skripte sind in Umlauf, die auf alle vom Nutzer besuchten Sites angewandt werden. Das Problem gilt für alle Plattformen. Die Greasemonkey-Entwickler raten daher dringend, Greasemonkey zu deinstallieren oder die abgespeckte Version 3.5.0 zu installieren -- darin funktionieren aber die Greasemonkey-eigenen Befehle GM_* nicht. Die Entwickler arbeiten mit Hochdruck an einer fehlerbereinigten Version ihrer Erweiterung. (jo)