Saatos sékrési Firefox 67.0.3 sareng 60.7.1 release corrective tambahan 67.0.4 jeung 60.7.2, nu ngaleungitkeun 0 poé kadua (CVE-2019-11708), anu ngamungkinkeun anjeun ngaliwat mékanisme isolasi sandbox. Masalahna nganggo manipulasi IPC Prompt:Buka panggero pikeun muka, dina prosés indungna anu henteu kotak pasir, eusi wéb anu dipilih ku prosés anak. Nalika digabungkeun sareng kerentanan anu sanés, masalah ieu tiasa ngalangkungan sadaya tingkat panyalindungan sareng ngantepkeun kodeu dieksekusi dina sistem.
Kerentanan anu diidentifikasi dina dua sékrési Firefox anu terakhir sateuacan dilereskeun pikeun ngatur serangan on karyawan bursa cryptocurrency Coinbase, kitu ogé pikeun nyebarkeun malware pikeun platform macOS. yén inpormasi ngeunaan kerentanan munggaran dikirim ka Mozilla ku anggota Google Project Zero deui dina 15 April sareng 10 Juni. dina versi béta Firefox 68 (para panyerang sigana nganalisa perbaikan anu diterbitkeun sareng nyiapkeun eksploitasi, ngamangpaatkeun kerentanan anu sanés pikeun ngalangkungan isolasi sandbox).
sumber: opennet.ru