Firefox 67.0.3-ի և 60.7.1-ի թողարկումներից հետո լրացուցիչ ուղղիչ թողարկումներ 67.0.4 և 60.7.2, որոնք վերացրել են երկրորդ 0-օրյակը (CVE-2019-11708), որը թույլ է տալիս շրջանցել ավազատուփի մեկուսացման մեխանիզմը։ Խնդիրն օգտագործում է IPC Prompt:Open զանգի մանիպուլյացիա՝ երեխայի գործընթացի կողմից ընտրված վեբ բովանդակությունը բացելու համար առանց ավազի տուփի մայր գործընթացի: Երբ զուգակցվում է մեկ այլ խոցելիության հետ, այս խնդիրը կարող է շրջանցել պաշտպանության բոլոր մակարդակները և թույլ տալ, որ կոդը գործարկվի համակարգում:
Firefox-ի վերջին երկու թողարկումներում հայտնաբերվել են խոցելիություններ՝ նախքան դրանք շտկելը հարձակում կազմակերպել Coinbase կրիպտոարժույթի բորսայի աշխատակիցների վրա, ինչպես նաև macOS պլատֆորմի համար չարամիտ ծրագրեր տարածելու համար: որ առաջին խոցելիության մասին տեղեկատվությունը Mozilla-ին ուղարկվել է Google Project Zero-ի անդամի կողմից ապրիլի 15-ին և հունիսի 10-ին։ Firefox 68-ի բետա տարբերակում (հարձակվողները, հավանաբար, վերլուծել են հրապարակված շտկումը և պատրաստել են շահագործում, օգտվելով ավազատուփի մեկուսացումը շրջանցելու մեկ այլ խոցելիությունից):
Source: opennet.ru