Pēc Firefox 67.0.3 un 60.7.1 laidieniem papildu koriģējošie laidieni 67.0.4 un 60.7.2, kas likvidēja otro 0 dienu (CVE-2019-11708), kas ļauj apiet smilškastes izolācijas mehānismu. Problēma izmanto manipulācijas ar IPC Prompt:Open zvanu, lai atvērtu tīmekļa saturu, kas nav ievietots smilškastes vecākprocesā. Kombinācijā ar citu ievainojamību šī problēma var apiet visus aizsardzības līmeņus un ļaut sistēmā izpildīt kodu.
Ievainojamības, kas tika konstatētas pēdējos divos Firefox laidienos, pirms tās tika novērstas organizēt uzbrukumu Coinbase kriptovalūtu biržas darbiniekiem, kā arī lai izplatītu ļaunprātīgu programmatūru macOS platformai. ka informāciju par pirmo ievainojamību Google Project Zero dalībnieks nosūtīja Mozilla vēl 15. aprīlī un 10. jūnijā. Firefox 68 beta versijā (uzbrucēji, iespējams, analizēja publicēto labojumu un sagatavoja ekspluatāciju, izmantojot citu ievainojamību, lai apietu smilškastes izolāciju).
Avots: opennet.ru