Firefox 67.0.3 ja 60.7.1 julkaisujen jälkeen ylimääräiset korjaavat julkaisut 67.0.4 ja 60.7.2, jotka eliminoivat toisen 0-päivän (CVE-2019-11708), jonka avulla voit ohittaa hiekkalaatikon eristysmekanismin. Ongelma käyttää IPC-kehote:Open-kutsun manipulointia avatakseen aliprosessin valitseman verkkosisällön ylätason prosessissa, joka ei ole hiekkalaatikko. Yhdessä toisen haavoittuvuuden kanssa tämä ongelma voi ohittaa kaikki suojaustasot ja sallia koodin suorittamisen järjestelmässä.
Firefoxin kahdessa viimeisessä versiossa havaitut haavoittuvuudet ennen niiden korjaamista järjestää hyökkäys Coinbase kryptovaluuttapörssin työntekijöitä vastaan sekä levittää haittaohjelmia macOS-alustalle. Google Project Zeron jäsen lähetti tiedon ensimmäisestä haavoittuvuudesta Mozillalle 15. huhtikuuta ja 10. kesäkuuta. Firefox 68:n beta-versiossa (hyökkääjät luultavasti analysoivat julkaistun korjauksen ja valmistelivat hyväksikäyttöä hyödyntäen toista haavoittuvuutta ohittaakseen hiekkalaatikon eristyksen).
Lähde: opennet.ru