Друга 67.0.4-дневна уязвимост е коригирана във Firefox 60.7.2 и 0

След изданията на Firefox 67.0.3 и 60.7.1 публикувани допълнителни коригиращи версии 67.0.4 и 60.7.2, които елиминират втория 0-ден уязвимост (CVE-2019-11708), което ви позволява да заобиколите механизма за изолиране на пясъчника. Проблемът използва манипулиране на извикването IPC Prompt:Open за отваряне в родителски процес без тестова среда на уеб съдържание, избрано от дъщерния процес. Когато се комбинира с друга уязвимост, този проблем може да заобиколи всички нива на защита и да позволи изпълнението на код в системата.

Уязвимости, идентифицирани в последните две версии на Firefox, преди да бъдат коригирани Беше използван да организира нападение срещу служители на борсата за криптовалута Coinbase, както и бяха използвани за разпространение на зловреден софтуер за платформата macOS. Одобреноче информацията за първата уязвимост е изпратена до Mozilla от член на Google Project Zero на 15 април и 10 юни фиксиран в бета версията на Firefox 68 (хакерите вероятно са анализирали публикуваната корекция и са подготвили експлойт, възползвайки се от друга уязвимост, за да заобиколят изолацията на пясъчника).

Източник: opennet.ru