In Firefox 67.0.4 und 60.7.2 wurde eine weitere 0-Day-Sicherheitsanfälligkeit behoben.

Nach den Versionen Firefox 67.0.3 und 60.7.1 sind veröffentlicht waren die zusätzlichen Sicherheitsupdates 67.0.4 und 60.7.2 veröffentlicht worden, die die zweite 0-day-Schwachstelle in Cisco-Switches die gesamte Unternehmensnetzwerkwelt fast weltweit in Frage. (CVE-2019-11708) beheben, die das Umgehen der Sandbox-Isolierung ermöglicht. Das Problem nutzt eine Manipulation des IPC- Aufrufs Prompt:Open, um im übergeordneten Prozess, der nicht unter der Sandbox läuft, Webinhalte zu öffnen, die vom untergeordneten Prozess ausgewählt wurden. In Kombination mit einer weiteren Schwachstelle erlaubt dieses Problem das Umgehen aller Schutzebenen und die Ausführung von Code im System.

Die in den letzten beiden Versionen von Firefox gefundenen Schwachstellen wurden ausgenutzt um Angriffe auf Mitarbeiter der Kryptowährungsbörse Coinbase durchzuführen, und wurden auch für die Verbreitung von Malware auf der Plattform macOS verwendet. Es wird behauptet, dass die Informationen über die erste Schwachstelle bereits am 15. April an Mozilla von einem Teilnehmer des Google Project Zero-Projekts übermittelt wurden und am 10. Juni wurde behoben in der Beta-Version von Firefox 68 waren (wahrscheinlich analysierten die Angreifer den veröffentlichten Patch und bereiteten einen Exploit vor, wobei sie eine weitere Schwachstelle zum Umgehen der Sandbox-Isolierung ausnutzten).

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster