Łukasz Pilorz

**Nome do software vulnerável e versões afetadas** Versões do macOS anteriores à 10.15 Versões do watchOS anteriores à 6 Versões do iOS anteriores à 13 Versões do tvOS anteriores à 13 **Descrição** A vulnerabilidade permite um ataque de script entre sites (XSS) ao processar conteúdo da web criado de forma maliciosa. **Recomendações** Para versões do macOS anteriores à 10.15, atualize para o macOS Catalina 10.15. Para versões do watchOS anteriores à 6, atualize para o watchOS 6. Para versões do iOS anteriores à 13, atualize para o iOS 13. Para versões do tvOS anteriores à 13, atualize para o tvOS 13.

**Nome do software vulnerável e versões afetadas: Versões do Roundcube Webmail anteriores à 1.3.15 Versões do Roundcube Webmail anteriores à 1.4.8 Descrição: A vulnerabilidade permite a execução de XSS armazenado em mensagens HTML durante a exibição da mensagem por meio de um documento SVG especialmente criado. Isso pode ser explorado por um invasor remoto para comprometer a integridade dos dados. O problema está relacionado a medidas de proteção insuficientes para estruturas de páginas da web no cliente Roundcube Webmail, especificamente na função wash uri do arquivo rcube washtml.php. Recomendações: Para versões anteriores à 1.3.15, atualize para a versão 1.3.15 ou posterior. Para versões anteriores à 1.4.8, atualize para a versão 1.4.8 ou posterior.

**Name of the Vulnerable Software and Affected Versions** Safari versions prior to 9 **Description** The issue is related to errors in security settings, allowing a remote attacker to exploit it by using a specially crafted website to spoof the relationship between URLs and web content. This can lead to the substitution of web page content. **Recommendations** For versions prior to 9, update to version 9 or later to resolve the issue. As a temporary workaround, consider restricting access to untrusted websites to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** iOS versions prior to 9 **Description** The issue is related to how WebKit in iOS handles "Content-Disposition: attachment" HTTP headers, which could allow man-in-the-middle attackers to obtain sensitive information. Exploitation of this issue may enable a remote attacker to access protected information by conducting man-in-the-middle attacks. **Recommendations** For versions prior to 9, update to iOS version 9 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 21.0.1180.82 on iOS **Description** The issue allows remote attackers to bypass the Same Origin Policy and conduct Universal XSS (UXSS) attacks. This is achieved through certain incorrect calls to WebView methods that trigger the use of an `applewebdata:` URL, involving vectors with the `document.write` method. **Recommendations** For Google Chrome versions prior to 21.0.1180.82 on iOS, update to version 21.0.1180.82 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Apple iOS versions prior to 7 **Description** The issue allows remote attackers to conduct cross-site scripting (XSS) attacks by uploading a file, due to the failure to prevent HTML interpretation of a document served with a text/plain content type. **Recommendations** For versions prior to 7, update to version 7 or later to resolve the issue.