Na aanleiding van die vrystellings van Firefox 67.0.3 en 60.7.1 bykomende regstellende vrystellings 67.0.4 en 60.7.2, wat die tweede 0-dag uitgeskakel het (CVE-2019-11708), wat jou toelaat om die sandbox-isolasiemeganisme te omseil. Die kwessie maak gebruik van manipulasie van die IPC Prompt:Open-oproep om webinhoud wat deur die kinderproses gekies is, oop te maak in 'n nie-sandbox-ouerproses. Wanneer dit gekombineer word met 'n ander kwesbaarheid, kan hierdie probleem alle vlakke van beskerming omseil en toelaat dat kode op die stelsel uitgevoer word.
Kwesbaarhede wat in die laaste twee weergawes van Firefox geΓ―dentifiseer is voordat dit reggestel is om 'n aanval op werknemers van die Coinbase cryptocurrency-uitruil te organiseer, sowel as om wanware vir die macOS-platform te versprei. dat inligting oor die eerste kwesbaarheid op 15 April en op 10 Junie deur 'n lid van die Google Project Zero aan Mozilla gestuur is in die beta-weergawe van Firefox 68 (die aanvallers het waarskynlik die gepubliseerde oplossing ontleed en 'n uitbuiting voorberei, wat voordeel getrek het uit 'n ander kwesbaarheid om sandbox-isolasie te omseil).
Bron: opennet.ru