Μετά τις εκδόσεις του Firefox 67.0.3 και 60.7.1 πρόσθετες διορθωτικές εκδόσεις 67.0.4 και 60.7.2, οι οποίες εξάλειψαν τη δεύτερη 0-ημέρα (CVE-2019-11708), που σας επιτρέπει να παρακάμψετε τον μηχανισμό απομόνωσης του sandbox. Το ζήτημα χρησιμοποιεί χειρισμό του IPC Prompt:Open κλήση για να ανοίξει, σε μια γονική διαδικασία χωρίς περιβάλλον δοκιμών, περιεχόμενο ιστού που έχει επιλεγεί από τη θυγατρική διαδικασία. Όταν συνδυάζεται με άλλη ευπάθεια, αυτό το ζήτημα μπορεί να παρακάμψει όλα τα επίπεδα προστασίας και να επιτρέψει την εκτέλεση κώδικα στο σύστημα.
Τα τρωτά σημεία εντοπίστηκαν στις δύο τελευταίες εκδόσεις του Firefox πριν επιδιορθωθούν να οργανώσει επίθεση σε υπαλλήλους του ανταλλακτηρίου κρυπτονομισμάτων Coinbase, καθώς και για τη διανομή κακόβουλου λογισμικού για την πλατφόρμα macOS. ότι οι πληροφορίες σχετικά με την πρώτη ευπάθεια στάλθηκαν στη Mozilla από ένα μέλος του Google Project Zero στις 15 Απριλίου και στις 10 Ιουνίου στην έκδοση beta του Firefox 68 (οι εισβολείς πιθανώς ανέλυσαν τη δημοσιευμένη επιδιόρθωση και ετοίμασαν ένα exploit, εκμεταλλευόμενοι μια άλλη ευπάθεια για να παρακάμψουν την απομόνωση του sandbox).
Πηγή: opennet.ru