Firefox 67.0.3 және 60.7.1 шығарылымдарынан кейін 67.0.4 және 60.7.2 қосымша түзеткіш шығарылымдары, бұл екінші 0-күнді алып тастады. (CVE-2019-11708), бұл құмсалғышты оқшаулау механизмін айналып өтуге мүмкіндік береді. Мәселе еншілес процесс таңдаған веб-мазмұнды құм жәшігіне салынбаған ата-аналық процесте ашу үшін IPC шақыру: ашық қоңырауды басқаруды пайдаланады. Басқа осалдықпен біріктірілгенде, бұл мәселе қорғаудың барлық деңгейлерін айналып өтіп, жүйеде кодты орындауға мүмкіндік береді.
Firefox-тың соңғы екі шығарылымында олар түзетілгенге дейін анықталған осалдықтар Coinbase криптовалюта биржасының қызметкерлеріне шабуыл ұйымдастыру, сондай-ақ macOS платформасы үшін зиянды бағдарламаны тарату үшін. бірінші осалдық туралы ақпаратты Mozilla-ға Google Project Zero мүшесі 15 сәуірде және 10 маусымда жіберген. Firefox 68 бета нұсқасында (шабуылдаушылар жарияланған түзетуді талдап, құм жәшігінің оқшаулануын айналып өту үшін басқа осалдықты пайдалана отырып, эксплойт дайындаған).
Ақпарат көзі: opennet.ru