Menyusul rilis Firefox 67.0.3 dan 60.7.1 rilis korektif tambahan 67.0.4 dan 60.7.2, yang menghilangkan 0 hari kedua (CVE-2019-11708), yang memungkinkan Anda melewati mekanisme isolasi kotak pasir. Masalah ini menggunakan manipulasi panggilan IPC Prompt:Open untuk membuka, dalam proses induk yang tidak di-sandbox, konten web yang dipilih oleh proses anak. Jika digabungkan dengan kerentanan lain, masalah ini dapat melewati semua tingkat perlindungan dan memungkinkan kode dieksekusi pada sistem.
Kerentanan diidentifikasi dalam dua rilis terakhir Firefox sebelum diperbaiki untuk mengatur serangan terhadap karyawan pertukaran mata uang kripto Coinbase, serta untuk mendistribusikan malware untuk platform macOS. bahwa informasi tentang kerentanan pertama dikirim ke Mozilla oleh anggota Google Project Zero pada tanggal 15 April dan 10 Juni di versi beta Firefox 68 (penyerang mungkin menganalisis perbaikan yang dipublikasikan dan menyiapkan eksploitasi, memanfaatkan kerentanan lain untuk melewati isolasi kotak pasir).
Sumber: opennet.ru