În urma lansărilor Firefox 67.0.3 și 60.7.1 versiunile corective suplimentare 67.0.4 și 60.7.2, care au eliminat a doua zi 0 (CVE-2019-11708), care vă permite să ocoliți mecanismul de izolare sandbox. Problema folosește manipularea apelului IPC Prompt:Open pentru a deschide, într-un proces părinte non-sandbox, conținut web selectat de procesul copil. Atunci când este combinată cu o altă vulnerabilitate, această problemă poate ocoli toate nivelurile de protecție și poate permite executarea codului pe sistem.
Vulnerabilitățile identificate în ultimele două versiuni ale Firefox înainte ca acestea să fie remediate pentru a organiza un atac asupra angajaților schimbului de criptomonede Coinbase, precum și pentru a distribui programe malware pentru platforma macOS. acele informații despre prima vulnerabilitate au fost trimise către Mozilla de un membru al Google Project Zero pe 15 aprilie și pe 10 iunie în versiunea beta a Firefox 68 (atacatorii probabil au analizat remedierea publicată și au pregătit un exploit, profitând de o altă vulnerabilitate pentru a ocoli izolarea sandbox-ului).
Sursa: opennet.ru