Seguindo os lanzamentos de Firefox 67.0.3 e 60.7.1 versións correctivas adicionais 67.0.4 e 60.7.2, que eliminaron o segundo día 0 (CVE-2019-11708), que permite evitar o mecanismo de illamento da caixa de probas. O problema usa a manipulación da chamada IPC Prompt:Abrir para abrir, nun proceso pai sen espazo de proba, contido web seleccionado polo proceso fillo. Cando se combina con outra vulnerabilidade, este problema pode evitar todos os niveis de protección e permitir que se execute código no sistema.
Vulnerabilidades identificadas nas dúas últimas versións de Firefox antes de que fosen corrixidas para organizar un ataque contra os empregados do intercambio de criptomonedas Coinbase, así como para distribuír malware para a plataforma macOS. esa información sobre a primeira vulnerabilidade foi enviada a Mozilla por un membro do Google Project Zero o 15 de abril e o 10 de xuño. na versión beta de Firefox 68 (probablemente os atacantes analizaron a corrección publicada e prepararon un exploit, aproveitando outra vulnerabilidade para evitar o illamento do sandbox).
Fonte: opennet.ru