Следом за выпусками Firefox 67.0.3 и 60.7.1 дополнительные корректирующие релизы 67.0.4 и 60.7.2, в которых устранена вторая 0-day (CVE-2019-11708), позволяющая обойти механизм sandbox-изоляции. Проблема использует манипуляцию с IPC-вызовом Prompt:Open для открытия в родительском процессе, в котором не применяется sandbox, web-контента, выбранного дочерним процессом. В сочетании с другой уязвимостью данная проблема позволяет обойти все уровни защиты и организовать выполнение кода в системе.
Выявленные в последних двух выпусках Firefox уязвимости до своего исправления для организации атаки на сотрудников биржи криптовалют Coinbase, а также для распространения вредоносного ПО для платформы macOS. , что информация о первой уязвимости была направлена в Mozilla участником проекта Google Project Zero ещё 15 апреля и 10 июня была в бета-версии Firefox 68 (вероятно атакующие проанализировали опубликованное исправление и подготовили эксплоит, воспользовавшись ещё одной уязвимостью для обхода sandbox-изоляции).
Извор: опеннет.ру