У Firefox 67.0.4 та 60.7.2 усунуто ще одну 0-day вразливість
Слідом за випусками Firefox 67.0.3 та 60.7.1 опубліковано додаткові коригувальні релізи 67.0.4 та 60.7.2, у яких усунута друга 0-day вразливість (CVE-2019-11708), що дозволяє обійти механізм sandbox-ізоляції. Проблема використовує маніпуляцію з IPC-дзвінком Prompt:Open для відкриття батьківського процесу, в якому не застосовується sandbox, web-контенту, обраного дочірнім процесом. У поєднанні з іншою вразливістю ця проблема дозволяє обійти всі рівні захисту та організувати виконання коду в системі.
Виявлені в останніх двох випусках Firefox уразливості до виправлення були використані для організації атаки на співробітників біржі криптовалют Coinbase, а також застосовувалися для поширення шкідливого програмного забезпечення для платформи macOS. стверджується, що інформація про першу вразливість була направлена до Mozilla учасником проекту Google Project Zero ще 15 квітня та 10 червня була виправлена у бета-версії Firefox 68 (ймовірно атакуючі проаналізували опубліковане виправлення та підготували експлоїт, скориставшись ще однією вразливістю для обходу sandbox-ізоляції).