Alison Huffman

**Nome do software vulnerável e versões afetadas** Google Chrome no Android, versões anteriores à 90.0.4430.212 **Descrição** O problema está relacionado a uma implementação inadequada no modo offline do Google Chrome, permitindo que um invasor remoto que tenha comprometido o processo de renderização contorne o isolamento de sites. Isso pode ser feito por meio de uma página HTML especialmente criada. A vulnerabilidade também está relacionada à inclusão de recursos de uma área controlada não confiável, que pode ser explorada por um invasor remoto para contornar as restrições de segurança existentes usando uma página HTML especialmente criada. **Recomendações** Para o Google Chrome em versões do Android anteriores à 90.0.4430.212, atualize para a versão 90.0.4430.212 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas: Versões do iOS anteriores à 14.4.1 Versões do iPadOS anteriores à 14.4.1 Versões do Safari anteriores à 14.0.3 Versões do watchOS anteriores à 7.3.2 Versões do macOS Big Sur anteriores à 11.2.3 Descrição: Um problema de corrupção de memória foi corrigido com validação aprimorada. O processamento de conteúdo da web criado de forma maliciosa pode levar à execução de código arbitrário. O problema está relacionado à validação insuficiente de entradas no módulo WebKit usado pelo navegador Safari, o que poderia permitir que um invasor remoto executasse código arbitrário usando uma página da web maliciosa especialmente criada. Recomendações: Para versões do iOS anteriores à 14.4.1, atualize para o iOS 14.4.1 ou posterior. Para versões do iPadOS anteriores à 14.4.1, atualize para o iPadOS 14.4.1 ou posterior. Para versões do Safari anteriores à 14.0.3, atualize para o Safari 14.0.3 ou posterior. Para versões do watchOS anteriores à 7.3.2, atualize para o watchOS 7.3.2 ou posterior. Para versões do macOS Big Sur anteriores à 11.2.3, atualize para o macOS Big Sur 11.2.3 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 89.0.4389.72 **Descrição** O problema está relacionado à validação insuficiente de dados no Modo Leitor, permitindo que um invasor remoto divulgue dados entre origens por meio de uma página HTML manipulada e um servidor malicioso. Isso pode levar ao acesso não autorizado a informações protegidas. **Recomendações** Para versões anteriores à 89.0.4389.72, atualize para a versão 89.0.4389.72 ou posterior para resolver o problema. Como solução temporária, considere desativar o Modo de Leitura até que um patch esteja disponível. Restrinja o acesso a servidores potencialmente maliciosos e páginas HTML criadas para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas: Versões do Google Chrome anteriores à 89.0.4389.72 Descrição: Uma corrida de dados no componente de áudio do Google Chrome permitia que um invasor remoto potencialmente explorasse uma corrupção de heap por meio de uma página HTML maliciosa. Esse problema está relacionado a uma vulnerabilidade do tipo “use-after-free”, que poderia permitir que um invasor executasse código arbitrário. A vulnerabilidade teria sido explorada em ataques reais. Recomendações: Para versões do Google Chrome anteriores à 89.0.4389.72, atualize para a versão 89.0.4389.72 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a componentes de áudio potencialmente vulneráveis até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas: Versões do Google Chrome anteriores à 89.0.4389.72 Descrição: O problema está relacionado a uma disputa de dados no componente de áudio do Google Chrome, que pode ser explorada por um invasor remoto para, potencialmente, causar corrupção na pilha de memória por meio de uma página HTML maliciosa. Isso poderia permitir que o invasor obtivesse acesso não autorizado a informações protegidas. Recomendações: Para versões anteriores à 89.0.4389.72, atualize para a versão 89.0.4389.72 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso aos componentes de áudio no Google Chrome até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 88.0.4324.146 **Descrição** O problema está relacionado a uma vulnerabilidade do tipo “use after free” no componente de navegação do Google Chrome, o que poderia permitir que um invasor remoto que tivesse comprometido o processo de renderização potencialmente escapasse da sandbox por meio de uma página HTML maliciosa. Isso pode afetar a confidencialidade, a integridade e a disponibilidade das informações protegidas. **Recomendações** Para versões anteriores à 88.0.4324.146, atualize para a versão 88.0.4324.146 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a componentes de navegação potencialmente vulneráveis até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 90.0.4430.72 Microsoft Edge (versões afetadas não especificadas) **Descrição** O problema está relacionado à aplicação insuficiente de políticas durante a navegação, permitindo que um invasor remoto contorne as restrições de segurança por meio de uma página HTML especialmente criada. Isso pode ser explorado por um invasor remoto para contornar as restrições de segurança existentes. **Recomendações** Para versões do Google Chrome anteriores à 90.0.4430.72, atualize para a versão 90.0.4430.72 ou posterior para resolver o problema. Para o Microsoft Edge, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 87.0.4280.141 **Descrição** O problema está relacionado a um estouro de buffer de heap no componente de áudio, que pode ser explorado por um invasor remoto por meio de uma página HTML maliciosa, podendo levar à corrupção do heap e afetar a confidencialidade, a integridade e a disponibilidade das informações protegidas. **Recomendações** Para versões do Google Chrome anteriores à 87.0.4280.141, atualize para a versão 87.0.4280.141 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 86.0.4240.75 **Descrição** O problema está relacionado à aplicação insuficiente de políticas no componente de rede do Google Chrome, o que pode ser explorado por um invasor remoto que tenha comprometido o processo de renderização. Isso pode permitir que o invasor contorne a política de mesma origem por meio de uma página HTML especialmente criada. O número estimado de dispositivos potencialmente afetados não foi especificado. **Recomendações** Para versões anteriores à 86.0.4240.75, atualize para a versão 86.0.4240.75 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a páginas HTML criadas especificamente para minimizar o risco de exploração.