Al parecer, debido al sistema que usa Greasemonkey para inyectar código al cargar las webs, éstas pueden leer los scripts que se cargan en ella. Podéis comprobarlo en esta prueba de concepto.
Esto tiene algunas implicaciones peligrosas.
La primera y peor, es que si en un script hemos añadido información personal, como puede ser el login y contraseña u otros datos sensibles, éstos están a la vista de las webs que visitamos. Es más, imaginad que una de nuestras webs favoritas es hackeada. Podría darse el caso de que perdamos nuestras cuentas de correo por ejemplo.
La segunda es que es posible que alguna web no esté dispuesta a que usemos en ella determinado script. Ya que pueden ver cuáles usamos, lo tienen fácil para detectarnos y tomar las medidas que crean oportunas.
Los desarrolladores de GM, mientras tanto, están al tanto del problema, del que se han percatado justo antes de terminar la versión 0.4, y están trabajando para cambiar la manera de actuar de la extensión, pero parece ser que no es sencillo, y están pidiendo ayuda de expertos en XPCOM/Mozilla/JavaScript.
Mientras tanto, lo mejor es, o bien desactivar la extensión hasta que aparezca una nueva versión que arregle el fallo de seguridad, o al menos asegurarse de que no hay información sensible en ninguno de nuestros scritps.
Actualización: parece que el fallo es aún peor de lo que apuntaba, mucho peor de hecho. Tener instalado GM permite a cualquier web leer cualquier fichero de nuestro disco duro. Ahora sí, hasta nuevo aviso, desinstalad la extensión. Enlace a la discusión en la lista de correo.
Actualización 2: parece que se va a sacar una versión capada, que será la 0.3.5, y que parchea el fallo, pero a costa de hacer que muchos scripts dejen de funcionar. Sin duda un mal menor.
Actualización 3: Greasemonkey 0.3.5
Actualización 4: Anuncio oficial.
Paralelamente al desarrollo de la que será la siguiente gran versión de Firefox, la 1.1, se sigue avanzando en las versión 1.0 con arreglos de importantes fallos de seguridad y mejoras en la estabilidad.
