时隔两天，火狐浏览器再发新版本 67.0.4，修复和第1个0day出现于同样攻击中的另外一个0day。火狐浏览器用户应立即安装更新。

火狐发布67.0.3版本修复已被用于针对性攻击中的一个严重的远程代码执行漏洞。之后，研究人员发现该漏洞和另外一个未知漏洞被组合用于钓鱼攻击中，以在受害者机器上释放并执行恶意 payload。

沙箱逃逸 0day 漏洞

这个未知漏洞是 Coinbase Security 提交的一个沙箱逃逸漏洞CVE-2019-11708，它可导致攻击者从浏览器受保护的沙箱中逃逸。链接该0day和在67.0.3版本中修复的漏洞可导致攻击者在易受攻击的电脑上执行远程代码。

该漏洞的严重等级为高危，根据说明，“对子进程和父进程之间以 Prompt: Open IPC 信息传递的参数审查不充分，可导致非沙箱父进程打开由受攻陷子进程选择的 web 内容。当链接使用其它漏洞时，可导致在用户计算机上执行任意代码。”

建议用户立即更新，火狐浏览器的内置更新机制中已提供火狐 67.0.4和火狐 ESR 60.7.2。