A Firefox 67.0.3 és 60.7.1 kiadását követően további 67.0.4 és 60.7.2 korrekciós kiadások, amelyek megszüntették a második 0-napot (CVE-2019-11708), amely lehetővé teszi a homokozó leválasztó mechanizmusának megkerülését. A probléma az IPC Prompt:Open hívás manipulációját használja az alárendelt folyamat által kiválasztott webtartalom megnyitásához egy nem sandboxos szülőfolyamatban. Egy másik sérülékenységgel kombinálva ez a probléma megkerülheti a védelem minden szintjét, és lehetővé teszi a kód futtatását a rendszeren.
A Firefox utolsó két kiadásában a kijavításuk előtt azonosított sebezhetőségek támadást szervezni a Coinbase kriptovaluta tőzsde alkalmazottai ellen, valamint rosszindulatú programok terjesztésére a macOS platformon. hogy az első sebezhetőségről szóló információt a Google Project Zero egyik tagja küldte el a Mozillának még április 15-én és június 10-én. a Firefox 68 béta verziójában (a támadók valószínűleg elemezték a közzétett javítást, és kiaknázást készítettek elő, kihasználva egy másik sebezhetőséget a sandbox izoláció megkerülésére).
Forrás: opennet.ru