Po vydání Firefoxu 67.0.3 a 60.7.1 další opravná vydání 67.0.4 a 60.7.2, která eliminovala druhý nultý den (CVE-2019-11708), který umožňuje obejít mechanismus izolace sandboxu. Tento problém využívá manipulaci s voláním IPC Prompt:Open k otevření webového obsahu vybraného podřízeným procesem v nadřazeném procesu mimo karanténu. V kombinaci s jinou chybou zabezpečení může tento problém obejít všechny úrovně ochrany a umožnit spuštění kódu v systému.
Chyby zabezpečení zjištěné v posledních dvou verzích Firefoxu předtím, než byly opraveny zorganizovat útok na zaměstnance kryptoměnové burzy Coinbase, stejně jako k distribuci malwaru pro platformu macOS. že informaci o první zranitelnosti zaslal Mozille člen projektu Google Project Zero 15. dubna a 10. června v beta verzi Firefoxu 68 (útočníci pravděpodobně analyzovali zveřejněnou opravu a připravili exploit využívající další zranitelnost k obejití izolace sandboxu).
Zdroj: opennet.ru