Слідом за випусками Firefox 67.0.3 та 60.7.1 додаткові коригувальні релізи 67.0.4 та 60.7.2, у яких усунута друга 0-day (CVE-2019-11708), що дозволяє обійти механізм sandbox-ізоляції. Проблема використовує маніпуляцію з IPC-дзвінком Prompt:Open для відкриття батьківського процесу, в якому не застосовується sandbox, web-контенту, обраного дочірнім процесом. У поєднанні з іншою вразливістю ця проблема дозволяє обійти всі рівні захисту та організувати виконання коду в системі.
Виявлені в останніх двох випусках Firefox уразливості до виправлення для організації атаки на співробітників біржі криптовалют Coinbase, а також для поширення шкідливого програмного забезпечення для платформи macOS. , що інформація про першу вразливість була направлена до Mozilla учасником проекту Google Project Zero ще 15 квітня та 10 червня була у бета-версії Firefox 68 (ймовірно атакуючі проаналізували опубліковане виправлення та підготували експлоїт, скориставшись ще однією вразливістю для обходу sandbox-ізоляції).
Джерело: opennet.ru