Tras los lanzamientos de Firefox 67.0.3 y 60.7.1 versiones correctivas adicionales 67.0.4 y 60.7.2, que eliminaron el segundo día 0 (CVE-2019-11708), que le permite omitir el mecanismo de aislamiento de la zona de pruebas. El problema utiliza la manipulación de la llamada IPC Prompt:Open para abrir, en un proceso principal sin espacio aislado, contenido web seleccionado por el proceso secundario. Cuando se combina con otra vulnerabilidad, este problema puede eludir todos los niveles de protección y permitir que se ejecute código en el sistema.
Vulnerabilidades identificadas en las dos últimas versiones de Firefox antes de que fueran reparadas organizar un ataque contra los empleados del intercambio de criptomonedas Coinbase, así como para distribuir malware para la plataforma macOS. Esa información sobre la primera vulnerabilidad fue enviada a Mozilla por un miembro del Proyecto Cero de Google el 15 de abril y el 10 de junio. en la versión beta de Firefox 68 (los atacantes probablemente analizaron la solución publicada y prepararon un exploit, aprovechando otra vulnerabilidad para evitar el aislamiento de la zona de pruebas).
Fuente: opennet.ru