Na de releases van Firefox 67.0.3 en 60.7.1 aanvullende corrigerende releases 67.0.4 en 60.7.2, waardoor de tweede nuldag werd geëlimineerd (CVE-2019-11708), waarmee u het sandbox-isolatiemechanisme kunt omzeilen. Het probleem maakt gebruik van manipulatie van de IPC Prompt:Open-aanroep om, in een niet-sandboxed ouderproces, webinhoud te openen die door het onderliggende proces is geselecteerd. In combinatie met een andere kwetsbaarheid kan dit probleem alle beschermingsniveaus omzeilen en ervoor zorgen dat code op het systeem wordt uitgevoerd.
Kwetsbaarheden die in de laatste twee releases van Firefox zijn geïdentificeerd voordat ze werden verholpen om een aanval op medewerkers van de cryptocurrency-uitwisseling Coinbase te organiseren, evenals om malware voor het macOS-platform te verspreiden. dat informatie over de eerste kwetsbaarheid op 15 april en op 10 juni door een lid van het Google Project Zero naar Mozilla werd gestuurd in de bètaversie van Firefox 68 (de aanvallers hebben waarschijnlijk de gepubliceerde oplossing geanalyseerd en een exploit voorbereid, waarbij ze misbruik maakten van een andere kwetsbaarheid om sandbox-isolatie te omzeilen).
Bron: opennet.ru