Berikutan keluaran Firefox 67.0.3 dan 60.7.1 keluaran pembetulan tambahan 67.0.4 dan 60.7.2, yang menghapuskan 0 hari kedua (CVE-2019-11708), yang membolehkan anda memintas mekanisme pengasingan kotak pasir. Isu ini menggunakan manipulasi IPC Prompt:Buka panggilan untuk membuka, dalam proses induk bukan kotak pasir, kandungan web yang dipilih oleh proses anak. Apabila digabungkan dengan kelemahan lain, isu ini boleh memintas semua peringkat perlindungan dan membenarkan kod dilaksanakan pada sistem.
Kerentanan dikenal pasti dalam dua keluaran terakhir Firefox sebelum ia diperbaiki untuk menganjurkan serangan ke atas pekerja pertukaran mata wang kripto Coinbase, serta untuk mengedarkan perisian hasad untuk platform macOS. bahawa maklumat tentang kerentanan pertama telah dihantar kepada Mozilla oleh ahli Google Project Zero pada 15 April dan pada 10 Jun dalam versi beta Firefox 68 (penyerang mungkin menganalisis pembetulan yang diterbitkan dan menyediakan eksploitasi, mengambil kesempatan daripada kelemahan lain untuk memintas pengasingan kotak pasir).
Sumber: opennet.ru