Firefox 67.0.3 和 60.7.1 发布后 其他修正版本 67.0.4 和 60.7.2,消除了第二个 0day (CVE-2019-11708),它允许您绕过沙箱隔离机制。 该问题使用 IPC Prompt:Open 调用来在非沙盒父进程中打开子进程选择的 Web 内容。 当与另一个漏洞结合使用时,此问题可以绕过所有级别的保护并允许在系统上执行代码。
Firefox 最后两个版本中发现的漏洞在修复之前 组织对 Coinbase 加密货币交易所员工的攻击,以及 为 macOS 平台分发恶意软件。 有关第一个漏洞的信息由 Google 零号项目成员于 15 月 10 日和 XNUMX 月 XNUMX 日发送给 Mozilla 在 Firefox 68 的测试版中(攻击者可能分析了已发布的修复程序并准备了漏洞利用程序,利用另一个漏洞绕过沙箱隔离)。
来源: opennet.ru