Sekvante la eldonojn de Firefox 67.0.3 kaj 60.7.1 pliaj korektaj eldonoj 67.0.4 kaj 60.7.2, kiuj forigis la duan 0-tagon (CVE-2019-11708), kiu ebligas al vi preteriri la sablokestan izoligan mekanismon. La afero uzas manipuladon de la IPC Prompt:Malfermu vokon por malfermi, en ne-sandboxed gepatra procezo, retenhavon elektita de la infana procezo. Se kombinita kun alia vundebleco, ĉi tiu afero povas preteriri ĉiujn nivelojn de protekto kaj permesi kodon esti ekzekutita en la sistemo.
Vundeblecoj identigitaj en la lastaj du eldonoj de Fajrovulpo antaŭ ol ili estis riparitaj organizi atakon kontraŭ dungitoj de la interŝanĝo de kripta monero Coinbase, same kiel distribui malware por la platformo macOS. tiu informo pri la unua vundebleco estis sendita al Mozilo de membro de la Google Project Zero la 15-an de aprilo kaj la 10-an de junio. en la beta-versio de Fajrovulpo 68 (la atakantoj verŝajne analizis la publikigitan riparon kaj preparis ekspluataĵon, profitante alian vundeblecon por preteriri sablokestan izolitecon).
fonto: opennet.ru