Kufuatia matoleo ya Firefox 67.0.3 na 60.7.1 matoleo ya ziada ya marekebisho 67.0.4 na 60.7.2, ambayo yaliondoa siku 0 za pili. (CVE-2019-11708), ambayo hukuruhusu kupita utaratibu wa kutengwa kwa kisanduku cha mchanga. Suala hili linatumia upotoshaji wa IPC Prompt:Open Call kufungua, katika mchakato wa mzazi usio na sandbox, maudhui ya wavuti yaliyochaguliwa na mchakato wa mtoto. Ikiunganishwa na athari nyingine, suala hili linaweza kupita viwango vyote vya ulinzi na kuruhusu msimbo kutekelezwa kwenye mfumo.
Athari zilizobainishwa katika matoleo mawili ya mwisho ya Firefox kabla ya kurekebishwa kuandaa shambulio kwa wafanyikazi wa ubadilishaji wa Coinbase cryptocurrency, na vile vile kusambaza programu hasidi kwa jukwaa la macOS. kwamba maelezo kuhusu athari ya kwanza yalitumwa kwa Mozilla na mwanachama wa Google Project Zero mnamo Aprili 15 na Juni 10. katika toleo la beta la Firefox 68 (washambuliaji labda walichanganua marekebisho yaliyochapishwa na kuandaa unyonyaji, wakitumia uwezekano mwingine wa kukwepa kutengwa kwa sanduku la mchanga).
Chanzo: opennet.ru