No de Verëffentlechunge vu Firefox 67.0.3 an 60.7.1 zousätzlech korrektiv Verëffentlechungen 67.0.4 an 60.7.2, déi den zweeten 0-Dag eliminéiert hunn (CVE-2019-11708), wat Iech erlaabt de Sandkëscht Isolatiounsmechanismus ze ëmgoen. D'Thema benotzt Manipulatioun vun der IPC Prompt: Open Call fir opzemaachen, an engem net-sandboxed Elterendeel, Webinhalt ausgewielt vum Kandprozess. Wann kombinéiert mat enger anerer Schwachstelle, kann dëst Thema all Niveau vum Schutz ëmgoen an erlaben Code am System auszeféieren.
Schwachstelle identifizéiert an de leschten zwou Verëffentlechunge vu Firefox ier se fixéiert goufen eng Attack op Mataarbechter vun der Coinbase cryptocurrency Austausch ze organiséieren, wéi och fir Malware fir d'macOS Plattform ze verdeelen. datt Informatioun iwwer déi éischt Schwachstelle vun engem Member vum Google Project Zero un Mozilla geschéckt gouf de 15. Abrëll an den 10. Juni an der Beta-Versioun vu Firefox 68 (d'Ugräifer hunn wahrscheinlech déi publizéiert Fix analyséiert an en Ausbeutung virbereet, profitéiert vun enger anerer Schwachstelle fir d'Sandkëschtisolatioun ze ëmgoen).
Source: opennet.ru