پس از انتشار فایرفاکس 67.0.3 و 60.7.1 نسخه های اصلاحی اضافی 67.0.4 و 60.7.2 که 0 روز دوم را حذف کردند (CVE-2019-11708)، که به شما امکان می دهد مکانیسم جداسازی جعبه شنی را دور بزنید. این مشکل از دستکاری IPC Prompt:Open فراخوانی برای باز کردن محتوای وب انتخاب شده توسط فرآیند فرزند، در یک فرآیند والد که در جعبه سندباکس نیست، استفاده میکند. هنگامی که این مشکل با آسیبپذیری دیگری ترکیب میشود، میتواند تمام سطوح حفاظتی را دور بزند و امکان اجرای کد روی سیستم را فراهم کند.
آسیبپذیریهایی که در دو نسخه آخر فایرفاکس قبل از رفع آنها شناسایی شدهاند برای سازماندهی حمله به کارمندان صرافی ارز دیجیتال کوین بیس و همچنین برای توزیع بدافزار برای پلتفرم macOS. اطلاعات مربوط به اولین آسیبپذیری توسط یکی از اعضای Google Project Zero در 15 آوریل و 10 ژوئن به موزیلا ارسال شد. در نسخه بتای فایرفاکس 68 (مهاجمین احتمالاً اصلاحات منتشر شده را تجزیه و تحلیل کرده و یک اکسپلویت آماده کرده اند و از یک آسیب پذیری دیگر برای دور زدن انزوا جعبه سند استفاده می کنند).
منبع: opennet.ru