Et par enkle Mozilla-sårbarheder gjorde det lettere for hackere at phish Coinbase-medarbejdere. Udnyttelsen, som blev beskrevet af ZDNet, var en ekstern kodekørsel, der kunne tvinge maskiner til at køre Firefox for at installere spyware til at indfange adgangskoder og andre data.

De to sårbarheder – CVE-2019-11708 og CVE-2019-11707 – første gang dukkede op i april 15, og hackere brugte dem til at hacke Coinbase-medarbejdere. Når de besøgte websteder, der var linket til e-mailen, ville browseren downloade et stykke spyware for at stjæle logins og andre data.

Nogle detaljer fra udnyttelsen tyder på, at fejlen kunne eskalere privilegier uden for “sandbox”, hvor de fleste Mozilla-kodes kører:

Utilstrækkelig vetting af parametre, der er bestået med Prompt: Åbne IPC-besked mellem barn og forældre processer kan resultere i, at den ikke-sandboxede forælderproces åbner web indhold valgt ved en kompromitteret børne proces. Når det kombineres med yderligere sårbarheder, kan dette resultere i at udføre vilkårlig kode på brugerens computer.

De to sårbarheder kombineret for at skabe en perfekt storm, så hackere kan køre malware installatører øjeblikkeligt. Forskerne opdagede udnyttelserne den 15. april, og de mistanke om, at hackere så dem i Mozillas Bugzilla bug tracking database og udnyttede dem, før de kunne patches. Hacket påvirker ikke Coinbase-brugere.

Mozilla beder brugerne om at opdatere deres browsere for at lukke disse huller.