Alerte sur le singe

Mer 20 juillet 2005

[via Anil Dash et Simon Willison]
De graves vulnérabilités ont été relevées dans GreaseMonkey. Il est très vivement recommandé - voire obligatoire - de mettre à jour cette extension (si tu l'utilises), sous peine de voir s'exécuter du code "malicieux" (ce code peut par exemple lire les fichiers se trouvant sur ton disque dur... charmant, n'est-il pas ?)
Un post sur la liste de diffusion du projet a été relevé par Anil Dash et montre Mark Pilgrim (un des piliers de GM et auteur de l'indispensable DiveIntoGreaseMonkey - mais j'ai déjà dit qu'il était indispensable) en train de souligner, mi-sérieux / mi-faussement affolé à quel point la faille est dangereuse :

> So what is the short term strategy for not exposing yourself to
> malicious attacks, barring making the monkey frown until a real fix is
> released?
>
> I've already turned off all the scripts that run on every site. What
> else should I do?

Uninstall Greasemonkey altogether. At this point, I don't trust
having it on my computer at all. I would think that whoever is in
charge of addons.mozilla.org should immediately remove the
Greasemonkey XPI and post a large warning in its place advising people
to uninstall it.

By the way, "Greasemonkey Hacks" is DEAD until we fix this. And I'm
posting a big red blinking warning on every page of
diveintogreasemonkey.org advising visitors to uninstall it, until all
of these security holes are closed. This is why God invented the
blink tag.

Traduction possible :

> Donc, quelle est la stratégie à court terme pour ne pas être exposé
> à ces attaques malicieuses, bannir le Singe jusqu'à ce qu'une parade soit trouvée
> et une nouvelle version publiée ?
>
> J'ai déjà bloqué tous les scripts pour tous les sites
> Que dois-je faire d'autre ?

Désinstalle aussi Greasemonkey. Au jour d'aujourd'hui, je ne veux même pas qu'il se trouve sur mon ordinateur. Je pense qu'une personne en charge de addons.mozilla.org devrait immédiatement supprimer le fichier XPI et placer un énorme bandeau d'alerte encourageant les gens à le désinstaller.

Quoi qu'il en soit, "Greasemonkey Hacks" est ARRETE jusqu'à ce qu'on résolve le problème. Et je vais rajouter une grosse alerte rouge clignotante sur chaque page de diveintogreasemonkey.org demandant aux visiteurs de le désinstaller jusqu'à ce que ces trous de sécurité soient rebouchés. C'est la raison pour laquelle Dieu a inventé la balise "blink".

J'adore son style. Tout ça sans smiley !!! Preuve qu'on peut parfaitement être compris sans ces machins/trucs parfois incompréhensibles.

En passant, Simon nous livre une analyse complète de la fameuse faille, indiquant la source, les dangers ainsi que les éléments à corriger pour que cette extension redevienne sécurisée.

Du grand art. L'alliance Willison / Pilgrim fait presque peur à voir tellement ces gens sont talentueux.