Após os lançamentos do Firefox 67.0.3 e 60.7.1 versões corretivas adicionais 67.0.4 e 60.7.2, que eliminaram o segundo dia 0 (CVE-2019-11708), que permite ignorar o mecanismo de isolamento da sandbox. O problema usa a manipulação da chamada IPC Prompt:Open para abrir, em um processo pai que não está em área restrita, o conteúdo da web selecionado pelo processo filho. Quando combinado com outra vulnerabilidade, esse problema pode ignorar todos os níveis de proteção e permitir a execução de código no sistema.
Vulnerabilidades identificadas nas duas últimas versões do Firefox antes de serem corrigidas organizar um ataque aos funcionários da bolsa de criptomoedas Coinbase, bem como para distribuir malware para a plataforma macOS. essa informação sobre a primeira vulnerabilidade foi enviada à Mozilla por um membro do Google Project Zero em 15 de abril e 10 de junho na versão beta do Firefox 68 (os invasores provavelmente analisaram a correção publicada e prepararam um exploit, aproveitando outra vulnerabilidade para contornar o isolamento da sandbox).
Fonte: opennet.ru