火狐浏览器发现安全漏洞 黑客可访用户硬盘

　　【赛迪网讯】7月21日消息，火狐浏览器的Greasemonkey扩展功能中发现一个严重的安全漏洞，能够把本地硬盘的文件暴露给黑客。这个安全漏洞影响普通PC和Mac计算机。黑客不需要知道具体的文件名就可以访问用户的硬盘，如键入“file:///c:/”命令就可以返回一个详细的文件目录列表。

　　据theregister.co.uk报道，采用同样的方法也可以突破Mac计算机。Greasemonkey程序的作者Mark Pilgrim称：“这个安全漏洞比我想象的还要严重。发出GM_xmlhttpRequest请求就可以成功地得到你的计算机中可读的文件。”要避开这个安全漏洞，用户可以全部卸载Greasemonkey功能，或者把该软件的版本降低到缺少API的0.3.5版。

火狐浏览器的Greasemonkey扩展功能？？谁能介绍一下这个扩展是干嘛的？

Allows you to customize the way a webpage displays using small bits of JavaScript. Hundreds of scripts, for a wide variety of poular sites, are already available in the Greasemonkey script repository at http://dunck.us/collab/GreaseMonkeyUserScri

这个不能算是Firefox的漏洞，而是这个扩展的问题

版主,這個不是FIREFOX的漏洞阿

況且早就知道了

http://firefox.net.cn/newforum/viewtopic.php?t=7458

這裡發過了

我没有安装Greasemonkey扩展啊，也可以打开本地的

londsky：我没有安装Greasemonkey扩展啊，也可以打开本地的回到原帖

你自己当然有权力察看你本地的内容。

看来的统观全局了

有必要用浏览器打开本地硬盘吗。直接看不就完了吗，，还要装一个插件，真是又病！！！

这个漏洞指的是非本地用户可以浏览本地文件，如果有人利用这个漏洞制作一个特别的页面，那么访问这个页面的人就有可能泄露自己的文件信息给对方。

Greasemonkey 为了加强 userscript 的功能，把部份供扩展调用的内部功能，开放及 userscript 调用，但就没有安全机制防止网页调用，造成漏洞。

类似的安全问题在后期的 myie2 及现时 green browser 同样出现。maxthon 当时就壮士断臂，牺牲了对过百个插件的兼用，彻底解决这问题。gb 则竟然认为问题不严重而不处理 (简单示范)。

那个示范试是什么呀？

用 gb 打開看看。