Firefox 67.0.3 və 60.7.1 buraxılışlarından sonra ikinci 67.0.4-gününü ləğv edən əlavə düzəldici relizlər 60.7.2 və 0 (CVE-2019-11708), bu, sandbox təcrid mexanizmini keçməyə imkan verir. Məsələ, uşaq prosesi tərəfindən seçilmiş veb məzmunu Sandbox-a daxil edilməyən ana prosesdə açmaq üçün IPC Prompt:Açıq zəngin manipulyasiyasından istifadə edir. Başqa bir zəifliklə birləşdirildikdə, bu problem bütün qorunma səviyyələrini aşa bilər və kodun sistemdə icrasına icazə verə bilər.
Firefox-un son iki buraxılışında aşkarlanan boşluqlar düzəldilməzdən əvvəl Coinbase kriptovalyuta birjasının əməkdaşlarına hücum təşkil etmək, habelə macOS platforması üçün zərərli proqramı yaymaq. ilk boşluq haqqında məlumat Mozilla-ya Google Project Zero üzvü tərəfindən aprelin 15-də və iyunun 10-da göndərilib. Firefox 68-in beta versiyasında (təcavüzkarlar yəqin ki, dərc edilmiş düzəlişi təhlil edib və sandbox izolyasiyasından yan keçmək üçün başqa zəiflikdən istifadə edərək istismar hazırlayıblar).
Mənbə: opennet.ru