Pärast Firefoxi versioonide 67.0.3 ja 60.7.1 väljalaseid täiendavad korrigeerivad väljalasked 67.0.4 ja 60.7.2, mis välistasid teise 0-päeva (CVE-2019-11708), mis võimaldab teil liivakasti isolatsioonimehhanismist mööda minna. Probleem kasutab manipuleerimist IPC Prompt:Open kõnega, et avada alamprotsessi poolt valitud veebisisu, mis ei ole liivakastis. Koos teise haavatavusega võib see probleem mööda minna kõigist kaitsetasemetest ja lubada süsteemis koodi käivitada.
Firefoxi kahes viimases versioonis tuvastatud haavatavused enne nende parandamist korraldada rünnak Coinbase'i krüptovaluutabörsi töötajate vastu, samuti pahavara levitamiseks macOS-i platvormi jaoks. selle teabe esimese haavatavuse kohta saatis Mozillale Google Project Zero liige 15. aprillil ja 10. juunil Firefox 68 beetaversioonis (ründajad analüüsisid tõenäoliselt avaldatud parandust ja valmistasid ette ärakasutamise, kasutades ära teist haavatavust, et liivakasti isolatsioonist mööda minna).
Allikas: opennet.ru