Следам за выпускамі Firefox 67.0.3 і 60.7.1 дадатковыя якія карэктуюць рэлізы 67.0.4 і 60.7.2, у якіх ухіленая другая 0-day (CVE-2019-11708), якая дазваляе абыйсці механізм sandbox-ізаляцыі. Праблема выкарыстоўвае маніпуляцыю з IPC-выклікам Prompt:Open для адкрыцця ў бацькоўскім працэсе, у якім не прымяняецца sandbox, web-кантэнту, выбранага даччыным працэсам. У спалучэнні з іншай уразлівасцю дадзеная праблема дазваляе абыйсці ўсе ўзроўні абароны і арганізаваць выкананне кода ў сістэме.
Выяўленыя ў апошніх двух выпусках Firefox уразлівасці да свайго выпраўлення для арганізацыі нападу на супрацоўнікаў біржы криптовалют Coinbase, а таксама для распаўсюджвання шкоднаснага ПЗ для платформы macOS. , Што інфармацыя аб першай уразлівасці была накіравана ў Mozilla удзельнікам праекту Google Project Zero яшчэ 15 красавіка і 10 чэрвеня была. у бэта-версіі Firefox 68 (верагодна атакавалыя прааналізавалі апублікаванае выпраўленне і падрыхтавалі эксплоіт, скарыстаўшыся яшчэ адной уразлівасцю для абыходу sandbox-ізаляцыі).
Крыніца: opennet.ru