Die Entwickler der Firefox-Erweiterung Greasemonkey haben Version 0.5 Beta des Tools veröffentlicht. Greasemonkey kann automatisch Webseiten per User-JavaScript manipulieren und so häufig besuchte Internet-Auftritte um Funktionen bereichern oder sie nach den Vorgaben des Anwenders mit benutzerfreundlicherem Design versehen.
Wie letzten Monat bekannt wurde, wiesen die bis dahin aktuellen Versionen 0.3.4 und 0.4 Alpha ernste Sicherheitslücken auf. Beispielsweise war es Angreifern möglich, beliebige Dateien aus dem System des Anwenders auszulesen. Eine eilig veröffentlichte Version 0.3.5 stopfte einige Sicherheitslücken, indem sie einen Großteil der Funktionen (alle, deren Name mit "GM_" beginnt) deaktivierte.
Die Version 0.5 Beta stellt den ursprünglichen Funktionsumfang wieder her und beseitigt weitere Schwachstellen. Skripte laufen künftig in einer Sandbox und können nicht mehr auf das file://-Protokoll zugreifen. Zugriffe erfolgen nur noch über den Firefox-Wrapper XPCNativeWrapper, sodass Greasemonkey sich nicht mehr so leicht blockieren lässt. Unter der kommenden Firefox-Version 1.5 (Codename "Deer Park") soll Greasemonkey vor umdefinierten JavaScript-Objekten schützen. Zu den Verbesserungen zählen auch das Speichermanagement und eine Funktion für das Öffnen von Seiten in einem neuen Tab.
Die Entwickler der Beta-Version weisen jedoch darauf hin, dass das Vermengen von eigenem und fremdem Code generell sicherheitskritisch ist. So raten sie dringend davon ab, Passwörter in das JavaScript zu integrieren.
Quelle und Links :
http://www.heise.de/newsticker/meldung/62380
