微点交流论坛

标题: GreaseKit / Creammonkey GM API 漏洞 [打印本页]

作者: pioneer 时间: 2007-12-28 10:04 标题: GreaseKit / Creammonkey GM API 漏洞

来源

secunia.com

软件名

GreaseKit / Creammonkey 1.x

描述

这可恶意绕过特定的安全限制
userscript中的GM_addSytle, GM_log, GM_openInTab, GM_setValue, GM_getValue,和 GM_xmlhttpRequest函数没有充分保护，如果用户访问了恶意网址可导致例如泄漏设置或发送HTTP请求

成功执行需要 "userscript"对恶意网址可用

解决方案

升级到V1.4

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn