Nach den Versionen Firefox 67.0.3 und 60.7.1 waren die zusätzlichen Sicherheitsupdates 67.0.4 und 60.7.2 veröffentlicht worden, die die zweite 0-day-Schwachstelle (CVE-2019-11708) beheben, die das Umgehen der Sandbox-Isolierung ermöglicht. Das Problem nutzt eine Manipulation des IPC- Aufrufs Prompt:Open, um im übergeordneten Prozess, der nicht unter der Sandbox läuft, Webinhalte zu öffnen, die vom untergeordneten Prozess ausgewählt wurden. In Kombination mit einer weiteren Schwachstelle erlaubt dieses Problem das Umgehen aller Schutzebenen und die Ausführung von Code im System.
Die in den letzten beiden Versionen von Firefox gefundenen Schwachstellen um Angriffe auf Mitarbeiter der Kryptowährungsbörse Coinbase durchzuführen, und für die Verbreitung von Malware auf der Plattform macOS verwendet. , dass die Informationen über die erste Schwachstelle bereits am 15. April an Mozilla von einem Teilnehmer des Google Project Zero-Projekts übermittelt wurden und am 10. Juni in der Beta-Version von Firefox 68 waren (wahrscheinlich analysierten die Angreifer den veröffentlichten Patch und bereiteten einen Exploit vor, wobei sie eine weitere Schwachstelle zum Umgehen der Sandbox-Isolierung ausnutzten).
Quelle: opennet.ru
