В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимость

20 июня 2019 года

Следом за выпусками Firefox 67.0.3 и 60.7.1 опубликованы дополнительные корректирующие релизы 67.0.4 и 60.7.2, в которых устранена вторая 0-day уязвимость (CVE-2019-11708), позволяющая обойти механизм sandbox-изоляции. Проблема использует манипуляцию с IPC-вызовом Prompt:Open для открытия в родительском процессе, в котором не применяется sandbox, web-контента, выбранного дочерним процессом. В сочетании с другой уязвимостью данная проблема позволяет обойти все уровни защиты и организовать выполнение кода в системе.

Выявленные в последних двух выпусках Firefox уязвимости до своего исправления были использованы для организации атаки на сотрудников биржи криптовалют Coinbase, а также применялись для распространения вредоносного ПО для платформы macOS (дополнение: выявлены следы распространения через указанные уязвимости и вредоносного ПО для Windows). Инженеры Coinbase выявили наличие уязвимости в Firefox в ходе анализа вредоносного кода на фишинг-странице, ссылки на которую были отправлены сотрудникам по электронной почте. Не исключается, что похожие атаки были проведены и на другие компании.

Интересно, что информация о первой уязвимости была направлена в Mozilla участником проекта Google Project Zero ещё 15 апреля и 10 июня была исправлена в бета-версии Firefox 68 (вероятно атакующие проанализировали опубликованное исправление и подготовили эксплоит, воспользовавшись ещё одной уязвимостью для обхода sandbox-изоляции).