หลังจากการเปิดตัว Firefox 67.0.3 และ 60.7.1 รุ่นแก้ไขเพิ่มเติม 67.0.4 และ 60.7.2 ซึ่งกำจัด 0 วันที่สอง (CVE-2019-11708) ซึ่งช่วยให้คุณข้ามกลไกการแยกแซนด์บ็อกซ์ได้ ปัญหานี้ใช้การจัดการ IPC Prompt:Open call เพื่อเปิดเนื้อหาเว็บที่เลือกโดยกระบวนการลูกในกระบวนการหลักที่ไม่ใช่แซนด์บ็อกซ์ เมื่อรวมกับช่องโหว่อื่น ปัญหานี้สามารถข้ามการป้องกันทุกระดับและอนุญาตให้เรียกใช้โค้ดบนระบบได้
ช่องโหว่ที่ระบุใน Firefox สองรุ่นล่าสุดก่อนที่จะได้รับการแก้ไข เพื่อจัดการโจมตีพนักงานของการแลกเปลี่ยนสกุลเงินดิจิทัลของ Coinbase เช่นกัน เพื่อกระจายมัลแวร์สำหรับแพลตฟอร์ม macOS ข้อมูลเกี่ยวกับช่องโหว่แรกถูกส่งไปยัง Mozilla โดยสมาชิกของ Google Project Zero ย้อนกลับไปเมื่อวันที่ 15 เมษายนและวันที่ 10 มิถุนายน ใน Firefox 68 เวอร์ชันเบต้า (ผู้โจมตีอาจวิเคราะห์โปรแกรมแก้ไขที่เผยแพร่และเตรียมการหาช่องโหว่ โดยใช้ประโยชน์จากช่องโหว่อื่นเพื่อหลีกเลี่ยงการแยกแซนด์บ็อกซ์)
ที่มา: opennet.ru