그리스몽키, 쓰지 마세요!

[곰]

사용자가 만든 스크립트로 웹 사이트를 마음대로 조작할 수 있게 해주는 그리스몽키의 심각한 보안 문제가 드러났습니다. 문제가 되는 것은 GM_으로 시작하는 그리스몽키의 API들로 외부 사이트가 이 API를 써서 사용자의 정보를 빼낼 수 있다는 사실이 밝혀졌습니다. 실제로 그리스몽키를 설치한 상태에서 Mark Pilgrim이 만든 로컬 파일 유출 시험 문서를 열면 사용자의 하드 디스크에 저장된 boot.ini 파일 내용이 고스란히 드러납니다.

공식 사이트에는 아무런 이야기가 없지만, 그리스몽키 메일링 리스트에는 이 GM_ API들을 사용할 수 없게 만든 그리스몽키 0.3.5가 올라왔습니다. 그리스몽키 개발자들은 보안 문제를 해결하기 위해 그리스몽키를 DOM과 분리해서 실행할 수 있는 방법을 찾고 있습니다.(Greaseblog)

아직까지 이 문제로 피해를 보았다는 이야기는 없지만, 이 문제가 해결될 때까지는 그리스몽키를 사용하지 않는 것이 좋을 것입니다.

[소프트원트]

사용자가 만든 스크립트로 웹 사이트를 마음대로 조작할 수 있게 해주는 그리스몽키의 심각한 보안 문제가 드러났습니다. 문제가 되는 것은 GM_으로 시작하는 그리스몽키의 API들로 외부 사이트가 이 API를 써서 사용자의 정보를 빼낼 수 있다는 사실이 밝혀졌습니다. 실제로 그리스몽키를 설치한 상태에서 Mark Pilgrim이 만든 로컬 파일 유출 시험 문서를 열면 사용자의 하드 디스크에 저장된 boot.ini 파일 내용이 고스란히 드러납니다.

공식 사이트에는 아무런 이야기가 없지만, 그리스몽키 메일링 리스트에는 이 GM_ API들을 사용할 수 없게 만든 그리스몽키 0.3.5가 올라왔습니다. 그리스몽키 개발자들은 보안 문제를 해결하기 위해 그리스몽키를 DOM과 분리해서 실행할 수 있는 방법을 찾고 있습니다.(Greaseblog)

아직까지 이 문제로 피해를 보았다는 이야기는 없지만, 이 문제가 해결될 때까지는 그리스몽키를 사용하지 않는 것이 좋을 것입니다.

곰님이군요. ^^
최근에 블로그에 글쓰기를 다시 시작했더군요. 한동안 블로그에 글이 없어, 많이 아프기는 한가보다 했었습니다.

그리스몽키, 대단한 놈인 데 이런 일이, 저는 이 게시물 보고 일단 사용중지했습니다. 블로그에는 최신 파일로 업데이트하거나(그러나 완벽한 상태는 아니라고 함) 사용중지시키라고 되어있내요.

그래도 그리스몽키를 계속 사용할 분들은 업데이트하세요. 0.3.5가 최신 버전입니다.

[뚜찌]

그리스몽키에 대한 취약점은 마이크로 소프트웨어라는 잡지책에서 봤거든요

그런대 자세하게 알려주셔서 감사합니다.. 그리스몽키는 악용하면 해킹도 가능하다고 하네요;;;