English version is also available.

概要

GreaseKit と Creammonkey に、 (クロスサイトを含む) HTTP リクエストの送信や、 設定値の読み書きを可能にしてしまう脆弱性が発見されました。 使用者は GreaseKit 1.4 にアップグレードしてください。

該当するソフトウェアのバージョン

ソフトウェアのバージョンの確認方法は以下の通りです。

Creammonkey

Safari を起動し、":)"メニューから "About Creammonkey" を選択する。

GreaseKit

Safari (あるいは GreaseKit を使用しているアプリケーション) を起動し、 "GreaseKit" か ":)" メニューから "About GreaseKit" を選択する。

対策

この脆弱性は GreaseKit 1.4 で (GM 関数を削除することで) 修正されています。

詳細情報

GreaseKit はユーザースクリプト専用の6つの関数 (GM_addStyle, GM_log, GM_openInTab, GM_setValue, GM_getValue, GM_xmlhttpRequest) を提供しています。 これらの関数は、セキュリティ上の理由によりウェブページ上からは呼び出せません。

しかし、今回の脆弱性を悪用した場合、 ユーザスクリプトが適用されたウェブページ上から、これらの関数が呼び出せてしまいます。

連絡先

加藤和良 <kzys@8-p.info>