Alesandro Ortiz

**Nome do Software Vulnerável e Versões Afetadas** Google Chrome versões anteriores a 148.0.7778.168 **Descrição** A interface de usuário de segurança incorreta em Downloads permite que um invasor remoto realize a falsificação da interface do usuário (UI spoofing) por meio de uma página HTML manipulada. **Recomendações** Atualize para a versão 148.0.7778.168 ou posterior.

Name of the Vulnerable Software and Affected Versions: Google Chrome versions prior to 139.0.7258.127 Description: An inappropriate implementation in the File Picker component allowed a remote attacker to leak cross-origin data. The attack required convincing a user to perform specific UI gestures on a crafted HTML page. Recommendations: Update Google Chrome to version 139.0.7258.127 or later.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Google Chrome anteriores a 145.0.7632.45 **Descrição** Existe uma falha na funcionalidade de entrada de arquivos do Google Chrome que poderia permitir que um atacante remoto realizasse falsificação de interface do usuário. Isso é possível se o atacante convencer um usuário a realizar gestos específicos na interface em uma página HTML manipulada. A severidade de segurança do Chromium é classificada como Média. **Recomendações** Atualize o Google Chrome para a versão 145.0.7632.45 ou posterior.

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 146.0.7680.71 **Description** An incorrect security user interface in the LookalikeChecks feature allowed a remote attacker to perform UI spoofing through a crafted HTML page. The Chromium security severity is rated as Medium. **Recommendations** Update Google Chrome to version 146.0.7680.71 or later.

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 134.0.6998.35 **Description** The issue is related to an inappropriate implementation in Selection in Google Chrome on Android, allowing a remote attacker to perform UI spoofing via a crafted HTML page if the user engages in specific UI gestures. The severity of this issue is classified as Low by Chromium. **Recommendations** For Google Chrome versions prior to 134.0.6998.35, update to version 134.0.6998.35 or later to resolve the issue. As a temporary workaround, consider avoiding engagement in specific UI gestures that could be exploited by a crafted HTML page.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Google Chrome anteriores à 133.0.6943.53 **Descrição** O problema está relacionado a uma implementação inadequada na API de Extensões, permitindo que um atacante remoto realize spoofing de interface do usuário (UI) por meio de uma Extensão do Chrome criada especificamente para esse fim, caso o usuário seja convencido a realizar gestos específicos na interface. **Recomendações** Para versões anteriores à 133.0.6943.53, atualize para a versão 133.0.6943.53 ou posterior para resolver o problema.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Google Chrome anteriores à 132.0.6834.83 Microsoft Edge (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma implementação inadequada na função de Navegação do Google Chrome e do Microsoft Edge, permitindo que um atacante remoto contorne a autenticação via falsificação de interface do usuário. Isso pode ser conseguido mediante o uso de uma página HTML especialmente elaborada, permitindo que o atacante contorne as restrições de segurança existentes e realize um ataque de falsificação de interface do usuário. **Recomendações** Para versões do Google Chrome anteriores à 132.0.6834.83, atualize para a versão 132.0.6834.83 ou posterior para resolver o problema. Para o Microsoft Edge, até o momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Google Chrome anteriores à 139.0.7258.66 **Descrição** Uma implementação inadequada na funcionalidade Picture-in-Picture permitiu que um atacante remoto realizasse spoofing de interface do usuário. O atacante poderia convencer um usuário a realizar gestos específicos na interface em uma página HTML elaborada para explorar essa vulnerabilidade. A severidade de segurança é classificada como Baixa. **Recomendações** Atualize o Google Chrome para a versão 139.0.7258.66 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 127.0.6533.72 Microsoft Edge (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma implementação inadequada no componente FedCM, associada a um controle de acesso insuficiente. Isso poderia permitir que um invasor remoto realizasse spoofing da interface do usuário por meio de uma página HTML maliciosa, caso o usuário seja induzido a realizar ações específicas na interface. O invasor também pode obter acesso não autorizado ao sistema. **Recomendações** Para versões do Google Chrome anteriores à 127.0.6533.72, atualize para a versão 127.0.6533.72 ou posterior para resolver o problema. Para o Microsoft Edge, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 127.0.6533.72 Microsoft Edge (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma implementação inadequada no componente Fullscreen, permitindo que um invasor remoto falsifique o conteúdo da Omnibox (barra de URL) por meio de uma página HTML maliciosa. Isso pode ocorrer se o invasor convencer um usuário a realizar gestos específicos na interface do usuário. O problema também está associado a um controle de acesso insuficiente, o que pode permitir que um invasor obtenha acesso não autorizado a funcionalidades limitadas. **Recomendações** Para versões do Google Chrome anteriores à 127.0.6533.72, atualize para a versão 127.0.6533.72 ou posterior para resolver o problema. Para o Microsoft Edge, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 127.0.6533.72 Microsoft Edge (versões afetadas não especificadas) **Descrição** O problema está relacionado à implementação inadequada no componente FedCM, associada a um controle de acesso insuficiente. Isso poderia permitir que um invasor remoto realizasse spoofing da interface do usuário por meio de uma página HTML maliciosa, caso o usuário seja induzido a realizar ações específicas na interface. O número estimado de dispositivos potencialmente afetados e detalhes sobre incidentes reais não foram fornecidos. **Recomendações** Para versões do Google Chrome anteriores à 127.0.6533.72, atualize para a versão 127.0.6533.72 ou posterior para resolver o problema. Para o Microsoft Edge, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 128.0.6613.84 Microsoft Edge (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma implementação inadequada no componente FedCM dos navegadores Google Chrome e Microsoft Edge, associada a verificações de segurança incorretas para elementos padrão. Isso permite que um invasor remoto realize spoofing da interface do usuário por meio de uma página HTML maliciosa. **Recomendações** Para versões do Google Chrome anteriores à 128.0.6613.84, atualize para a versão 128.0.6613.84 ou posterior para resolver o problema. Para o Microsoft Edge, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 124.0.6367.60 **Descrição** O problema está relacionado a uma implementação inadequada no componente Extensões do Google Chrome, o que pode permitir que um invasor remoto realize falsificação da interface do usuário (UI spoofing) por meio de uma extensão do Chrome especialmente criada para esse fim. Isso poderia levar ao acesso não autorizado a informações confidenciais. **Recomendações** Para versões anteriores à 124.0.6367.60, atualize para a versão 124.0.6367.60 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso de extensões no Google Chrome até que a atualização seja aplicada.

**Name of the Vulnerable Software and Affected Versions** Google Chrome on Android versions prior to 116.0.5845.96 **Description** The issue is related to an inappropriate implementation in the WebShare component of Google Chrome for Android, which can allow a remote attacker to spoof the contents of a dialog URL using a specially crafted HTML page. This can be achieved by exploiting the incorrectly implemented security check for standard elements. **Recommendations** For Google Chrome on Android versions prior to 116.0.5845.96, update to version 116.0.5845.96 or later to resolve the issue. As a temporary workaround, consider avoiding the use of the WebShare component until a patch is applied.

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 114.0.5735.90 **Description** The issue is related to an inappropriate implementation in Picture In Picture, allowing a remote attacker who had compromised the renderer process to spoof the contents of the Omnibox (URL bar) via a crafted HTML page. This could potentially be used for phishing attacks. **Recommendations** For versions prior to 114.0.5735.90, update to version 114.0.5735.90 or later to resolve the issue. As a temporary workaround, consider restricting the use of the Picture In Picture feature until a patch is applied.

**Name of the Vulnerable Software and Affected Versions** Firefox versions prior to 113 Firefox ESR versions prior to 102.11 Thunderbird versions prior to 102.11 **Description** The issue is related to errors in the user interface, where browser prompts could be obscured by popups controlled by content, potentially leading to user confusion and spoofing attacks. This could allow a remote attacker to perform spoofing attacks. **Recommendations** For Firefox versions prior to 113, update to version 113 or later to resolve the issue. For Firefox ESR versions prior to 102.11, update to version 102.11 or later to resolve the issue. For Thunderbird versions prior to 102.11, update to version 102.11 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 113.0.5672.63 **Description** The issue is related to an inappropriate implementation in the PictureInPicture feature of Google Chrome, allowing a remote attacker who has compromised the renderer process to obfuscate the security UI via a crafted HTML page. This could potentially be used for phishing attacks. **Recommendations** For versions prior to 113.0.5672.63, update to version 113.0.5672.63 or later to resolve the issue. As a temporary workaround, consider restricting the use of the PictureInPicture feature until a patch is applied.

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 113.0.5672.63 **Description** The issue is related to an inappropriate implementation in the Prompts component of Google Chrome, which may allow a remote attacker to obfuscate main origin data via a crafted HTML page. This could potentially be used for phishing attacks. The estimated number of potentially affected devices worldwide is not specified. There is no information about real-world incidents where this issue was exploited. **Recommendations** For versions prior to 113.0.5672.63, update to version 113.0.5672.63 or later to resolve the issue. As a temporary workaround, consider restricting access to potentially vulnerable HTML pages until the update is applied. Avoid using the Prompts component with untrusted or specially crafted HTML pages until the issue is resolved.

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 111.0.5563.64 Microsoft Edge (affected versions not specified) **Description** The issue is related to an inappropriate implementation in the Internals component of Google Chrome and Microsoft Edge browsers, specifically concerning the security check for standard elements. This could allow a remote attacker to conduct spoofing attacks using a specially crafted HTML page. The estimated number of potentially affected devices worldwide is not specified. There is no information about real-world incidents where this issue was exploited. **Recommendations** For Google Chrome versions prior to 111.0.5563.64, update to version 111.0.5563.64 or later to resolve the issue. For Microsoft Edge, at the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Google Chrome on Android versions prior to 109.0.5414.74 **Description** The issue is related to an inappropriate implementation in permission prompts, allowing a remote attacker to bypass main origin permission delegation via a crafted HTML page. This could potentially impact the integrity of data. **Recommendations** For Google Chrome on Android versions prior to 109.0.5414.74, update to version 109.0.5414.74 or later to resolve the issue. As a temporary workaround, consider restricting the use of crafted HTML pages to minimize the risk of exploitation.