Vulnerabilidade TootRoot permitia controlar servidores Mastodon com uma única mensagem

Apesar da popularidade crescente, o Mastodon não está livre do mesmo tipo de vulnerabilidades que atormenta outros serviços.

Investigadores de segurança, contratados pela Mozilla para inspeccionar o código fonte do Mastodon, descobriam diversas falhas e vulnerabilidades, das quais se destaca a CVE-2023-36460 que foi designada por TootRoot.

Esta falha fazia com que fosse possível infectar e assumir o controlo de um servidor Mastodon com o envio de um único "toot" (o nome dado às mensagens na plataforma, ao estilo dos "tweets" no Twitter).

A falha tinha, uma vez mais, a ver com o processamento de conteúdos multimédia integrados nas mensagens; o mesmo tipo de falha que também já deu dores de cabeça à Apple no iMessage, e muitos outros serviços.

Esta e as demais falhas descobertas estavam presentes em todas as versões do Mastodon desde a versão 3.5.0, e foram corrigidas nas versões 3.5.9, 4.0.5 e 4.1.3 - sendo por isso fortemente recomendado que quem tiver um servidor Mastodon faça a actualização para a versão mais recente.