Venerdì scorso Mozilla ha rilasciato un security advisor per avvisare gli utenti di due grossi bug trovati nell’ultima versione di Firefox, il popolare browser.

I due bug sono stati associati a due differenti CVE che, fortunatamente, vengono risolte con l’ultima versione 59.0.1 già disponibile per il download.

Il primo, CVE-2018-5146, affligge libvorbis, la libreria integrata che si occupa dell’encoding/decoding di audio in modalità lossy (ovvero con perdita di qualità). Il bug permette di sfruttare la scrittura in aree di memoria non previste, rendendo possibile l’esecuzione di codice malevolo.

Il secondo è relativo a libtremor, e gli è stata assegnata la CVE-2018-5147. Questa libreria viene utilizzata da Firefox su dispositivi Android e, più in generale, su piattaforme ARM come alternativa a libvorbis. Evidentemente l’alternativa è stata scelta così bene da portarsi dietro gli stessi bug della sua controparte utilizzata sui normali PC.

Quindi, l’aggiornamento è d’obbligo, soprattutto pensando che il banale ascolto di un file audio può portare all’installazione di un rootkit o di un keylogger sui vostri sistemi!

Matteo Cappadonna

Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l’HA e l’universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.