Suite aux versions de Firefox 67.0.3 et 60.7.1 versions correctives supplémentaires 67.0.4 et 60.7.2, qui ont éliminé le deuxième 0-day (CVE-2019-11708), qui vous permet de contourner le mécanisme d'isolation du bac à sable. Le problème utilise la manipulation de l'appel IPC Prompt:Open pour ouvrir, dans un processus parent non sandbox, le contenu Web sélectionné par le processus enfant. Lorsqu'il est combiné à une autre vulnérabilité, ce problème peut contourner tous les niveaux de protection et permettre l'exécution de code sur le système.
Vulnérabilités identifiées dans les deux dernières versions de Firefox avant leur correction organiser une attaque contre les employés de l'échange de crypto-monnaie Coinbase, ainsi que pour distribuer des logiciels malveillants pour la plateforme macOS. que les informations sur la première vulnérabilité ont été envoyées à Mozilla par un membre du Google Project Zero le 15 avril et le 10 juin dans la version bêta de Firefox 68 (les attaquants ont probablement analysé le correctif publié et préparé un exploit, profitant d'une autre vulnérabilité pour contourner l'isolation sandbox).
Source: opennet.ru