پس از وصله کردن یک آسیبپذیری بحرانی قابل بهرهبرداری موجود در فایرفاکس ۶۷٫۰٫۳، درحالحاضر موزیلا به میلیونها کاربر خود دربارهی دومین آسیبپذیری روز-صفرم که مهاجمان از آن بهرهبرداری کردهاند، هشدار داده است.
مسألهای (CVE-2019-11708) که بهتازگی وصله شد یک آسیبپذیری sandbox escape است که درصورتیکه با اشکال type confusion (CVE-2019-11707) همراه شود، به یک مهاجم راه دور اجازه میدهد تا تنها با متقاعد کردن قربانیان برای بازدید از یک وبگاه مخرب، کد دلخواه را در رایانههای آنها اجرا کنند. سندباکس مرورگر، یک سازوکار امنیتی است که فرآیندهای شخص ثالث را جدا و محدود به مرورگر نگه میدارد و از آسیب زدن به سایر بخشهای حساس سیستم عامل یک رایانه جلوگیری میکند.
موزیلا از مسألهی اول از ماه آوریل و زمانی که یک پژوهشگر پروژهی صفر گوگل آن را به این شرکت گزارش داد، اطلاع دارد اما از مسألهی دوم و حملات مربوط به آن زمانی اطلاع یافت که مهاجمان بهرهبرداری از هر دو آسیبپذیری را با هدف قرار دادن کارکنان بستر کوینبیس و کاربران سایر شرکتهای رمزارز آغاز کرده بودند.
کارشناس امنیت macOS، پاتریک واردِل نیز گزارشی منتشر کرد که بیان میکند یک پویش جداگانه علیه کاربران رمزارز از همان آسیبپذیری روز-صفرم فایرفاکس برای نصب یک بدافزار macOS در رایانههای هدف استفاده میکند. هنوز مشخص نیست که مهاجمان اولین آسیبپذیری را بهطور مستقل و در زمانی که به موزیلا گزارش شده است، کشف کرده باشند و یا با روشهای دیگر به اطلاعات گزارش این اشکالها دست یافته باشند.
به هرحال، این شرکت، فایرفاکس نسخهی ۶۷٫۰٫۴ و ESR 60.7.2 را منتشر کرده است که هر دو آسیبپذیری را رفع میکنند و از دستیابی مهاجمان راه دور به کنترل سیستم کاربران جلوگیری میکنند. اگرچه فایرفاکس آخرین بهروزرسانی های موجود را بهصورت خودکار نصب میکند، اما به کاربران توصیه میشود تا مطمئن شوند که از فایرفاکس ۶۷٫۰٫۴ یا نسخهی جدیدتر آن استفاده میکنند. علاوهبراین، مانند وصلهای که برای مسألهی قبلی منتشر شد، پروژهی Tor بهتازگی بهروزرسانی دوم مرورگر وب خود را منتشر کرد که آسیبپذیری دوم را که فایرفاکس رفع کرده بود، وصله میکند.