Po Firefox 67.0.3 ir 60.7.1 leidimų papildomi korekciniai leidimai 67.0.4 ir 60.7.2, kurie pašalino antrąją 0 dieną (CVE-2019-11708), leidžianti apeiti smėlio dėžės izoliavimo mechanizmą. Problema naudoja manipuliavimą IPC Prompt:Open iškvietimu, kad atidarytumėte antrinio proceso pasirinktą žiniatinklio turinį ne smėlio dėžės pirminiame procese. Kartu su kitu pažeidžiamumu ši problema gali apeiti visus apsaugos lygius ir leisti sistemoje vykdyti kodą.
Pažeidžiamumas, nustatytas paskutiniuose dviejuose „Firefox“ leidimuose, prieš juos pašalinant organizuoti ataką prieš Coinbase kriptovaliutų biržos darbuotojus, taip pat platinti kenkėjiškas programas MacOS platformai. informaciją apie pirmąjį pažeidžiamumą „Google Project Zero“ narys atsiuntė „Mozilla“ dar balandžio 15 d. ir birželio 10 d. „Firefox 68“ beta versijoje (užpuolikai tikriausiai išanalizavo paskelbtą pataisą ir parengė išnaudojimą, pasinaudodami kitu pažeidžiamumu apeiti smėlio dėžės izoliaciją).
Šaltinis: opennet.ru