Après une vulnérabilité de sécurité critique (CVE-2019-11707) en début de semaine, une deuxième faille (CVE-2019-11708) est comblée pour Firefox par l'entremise d'une version 67.0.4 du navigateur (et Firefox ESR 60.7.2).
Cette deuxième vulnérabilité n'est pas jugée critique à elle seule, mais elle est liée à la première dans le cadre d'attaques faisant l'objet d'une exploitation active. Elle est présentée comme un échappement de sandbox en raison d'une vérification insuffisante de paramètres lors d'une communication inter-processus.
Son association avec la précédente vulnérabilité de confusion de type lors de la manipulation d'objets JavaScript peut déboucher sur l'exécution de code malveillant à distance sur l'ordinateur de l'utilisateur avec la consultation d'un site web.
2/ We walked back the entire attack, recovered and reported the 0-day to firefox, pulled apart the malware and infra used in the attack and are working with various orgs to continue burning down attacker infrastructure and digging into the attacker involved.
— Philip Martin (@SecurityGuyPhil) 19 juin 2019
Responsable de la sécurité des systèmes d'information chez Coinbase, un portefeuille et plateforme d'échange de cryptomonnaies, Philip Martin indique que les deux 0-day ont été exploitées dans des tentatives d'attaque ciblant des employés de Coinbase (du phishing ciblé avec des liens piégés) pour dérober des informations.
4/ If you believe you have been impacted by this attack or you have more intel to share and want to collaborate with us on a response, please reach out to security@coinbase.com. IOCs follow.
— Philip Martin (@SecurityGuyPhil) 19 juin 2019
Il souligne qu'il n'y a pas de signe d'une exploitation ciblant des utilisateurs et ajoute que Coinbase fait partie d'une campagne d'attaque ayant visé d'autres organisations dans le domaine des cryptomonnaies.