Firefox 67.0.3 和 60.7.1 發布後 其他修正版本 67.0.4 和 60.7.2,消除了第二個 0day (CVE-2019-11708),它允許您繞過沙箱隔離機制。 該問題使用 IPC Prompt:Open 呼叫來在非沙盒父進程中開啟子進程選擇的 Web 內容。 當與另一個漏洞結合使用時,此問題可以繞過所有層級的保護並允許在系統上執行程式碼。
Firefox 最後兩個版本中發現的漏洞在修復之前 組織對 Coinbase 加密貨幣交易所員工的攻擊,以及 為 macOS 平台分發惡意軟體。 有關第一個漏洞的資訊由 Google 零號專案成員於 15 月 10 日和 XNUMX 月 XNUMX 日發送給 Mozilla 在 Firefox 68 的測試版中(攻擊者可能分析了已發布的修復程序並準備了漏洞程序,利用另一個漏洞繞過沙箱隔離)。
來源: opennet.ru