Firefox 67.0.3 ve 60.7.1 sürümlerinin ardından ikinci 67.0.4 günü ortadan kaldıran ek düzeltme sürümleri 60.7.2 ve 0 (CVE-2019-11708), korumalı alan izolasyon mekanizmasını atlamanıza olanak tanır. Sorun, korumalı alanda olmayan bir ana süreçte, alt süreç tarafından seçilen web içeriğini açmak için IPC İstemi:Aç çağrısının manipülasyonunu kullanıyor. Başka bir güvenlik açığıyla birleştiğinde bu sorun, tüm koruma düzeylerini atlayabilir ve sistemde kod yürütülmesine izin verebilir.
Firefox'un son iki sürümünde düzeltilmeden önce tespit edilen güvenlik açıkları Coinbase kripto para borsası çalışanlarına yönelik bir saldırı düzenlemek ve ayrıca macOS platformu için kötü amaçlı yazılım dağıtmak. İlk güvenlik açığıyla ilgili bilgilerin 15 Nisan ve 10 Haziran'da Google Project Zero'nun bir üyesi tarafından Mozilla'ya gönderildiği belirtildi. Firefox 68'in beta sürümünde (saldırganlar muhtemelen yayınlanan düzeltmeyi analiz edip, korumalı alan izolasyonunu atlatmak için başka bir güvenlik açığından yararlanarak bir istismar hazırladılar).
Kaynak: opennet.ru