上周五,Mozilla 发布了火狐浏览器的安全警告,而火狐浏览器是 Fedora 的默认浏览器。此问题的核心为两个 CVE ——在处理 Vorbis 音频数据时,这两个 CVE 允许访问边界外的内存,从而导致任意代码的执行。大多数架构上,火狐浏览器使用 libvorbis 来处理 Vorbis 音频,CVE-2018-5146 就是针对libvorbis 的。在ARM架构上,火狐浏览器使用 libtremor 来处理 Vorbis 音频,CVE-2018-5147 就是针对 libtremor 的。

在安全警告发布的同时,Mozilla 发布了修复了漏洞的火狐浏览器 59.0.1

在Fedora上更新火狐浏览器

此文写作时,(修复了安全漏洞的)火狐浏览器 59.0.1 正处于Fedora更新过程中,很快将会出现在stable仓库中。当火狐浏览器到达stable仓库时,下一次系统更新期间将修复此漏洞。

然而,如果你想现在更新火狐浏览器,使用如下命令从 updates-testing 仓库中安装 firefox-59.0.1-1

sudo dnf --enablerepo updates-testing update firefox

本文翻译自 Ryan Lerch 的文章 Critical Firefox vulnerability fixed in 59.0.1