Ameen Basha M K

**Nome do Software Vulnerável e Versões Afetadas** Firefox versões anteriores a 151 Firefox ESR versões anteriores a 140.11 Thunderbird versões anteriores a 151 Thunderbird versões anteriores a 140.11 **Description** Condições de limite incorretas no componente Widget: Win32 permitem a evasão de sandbox, que ocorre quando um processo sai de seu ambiente restrito para acessar o sistema geral. **Recommendations** Atualizar para a versão 151 Atualizar para a versão 140.11 Atualizar para a versão 151 Atualizar para a versão 140.11

**Nome do Software Vulnerável e Versões Afetadas** Google Chrome versões anteriores a 147.0.7727.55 **Descrição** Existe um estouro de inteiro no componente do navegador de mídia do Google Chrome. A exploração bem-sucedida pode permitir que um invasor remoto cause uma negação de serviço por meio de um arquivo de vídeo especialmente criado. A gravidade de segurança é considerada baixa. **Recomendações** Atualize o Google Chrome para a versão 147.0.7727.55 ou posterior.

Name of the Vulnerable Software and Affected Versions Google Chrome versões anteriores a 147.0.7727.55 Description Um estouro de inteiro em Media no Google Chrome em versões anteriores a 147.0.7727.55 poderia permitir que um atacante remoto explorasse potencialmente a corrupção de heap por meio de um arquivo de vídeo criado. A gravidade de segurança do Chromium é classificada como Baixa. Recommendations Atualize o Google Chrome para a versão 147.0.7727.55 ou posterior.

Name of the Vulnerable Software and Affected Versions Google Chrome versões anteriores a 147.0.7727.55 Description Um problema de estouro de inteiro existe no componente Media do Google Chrome. A exploração bem-sucedida desta falha pode permitir que um invasor remoto cause uma negação de serviço por meio de um arquivo de vídeo criado. Recommendations Atualize o Google Chrome para a versão 147.0.7727.55 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Versões do Firefox anteriores à 141 Descrição: Uma URL especialmente criada utilizando um URI blob: poderia ocultar a origem real da página, potencialmente levando a um ataque de spoofing. Este problema afetou especificamente sistemas operacionais Android. Recomendações: Atualize o Firefox para a versão 141 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Versões do Google Chrome anteriores à 138.0.7204.49 Descrição: Validação de dados insuficiente no DevTools do Google Chrome no Windows permitiu que um atacante remoto, que convenceu um usuário a realizar gestos específicos na interface do usuário, executasse código arbitrário por meio de uma página HTML manipulada. A severidade de segurança deste problema é Baixa. Recomendações: Para versões anteriores à 138.0.7204.49, atualize para a versão 138.0.7204.49 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao DevTools até que a atualização seja aplicada. Evite utilizar páginas HTML manipuladas que possam explorar este problema até que a atualização seja instalada.

Nome do Software Vulnerável e Versões Afetadas: Versões do Firefox anteriores à 140 Descrição: O problema ocorre quando um usuário salva uma resposta da aba Rede nas Ferramentas de Desenvolvedor (DevTools) utilizando a opção "Salvar Como" do menu de contexto. Neste cenário, o arquivo salvo pode não possuir a extensão `.download`, o que pode levar o usuário a executar inadvertidamente um executável malicioso. Recomendações: Para versões anteriores à 140, atualize para a versão 140 ou posterior para resolver o problema. Como solução temporária, considere verificar a extensão dos arquivos salvos da aba Rede nas Ferramentas de Desenvolvedor para evitar a execução de executáveis maliciosos.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Firefox anteriores à 139 Versões do Firefox ESR anteriores à 115.24 Versões do Firefox ESR anteriores à 128.11 **Descrição** O problema surge devido ao escape insuficiente do caractere "E comercial" no recurso "Copiar como cURL". Isso pode permitir que um atacante engane um usuário para executar um comando, potencialmente levando à execução local de código no sistema do usuário. Esta falha afeta apenas o Firefox para Windows, não afetando outras versões do Firefox. **Recomendações** Para versões do Firefox anteriores à 139, atualize para a versão 139 ou posterior. Para versões do Firefox ESR anteriores à 115.24, atualize para a versão 115.24 ou posterior. Para versões do Firefox ESR anteriores à 128.11, atualize para a versão 128.11 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Firefox anteriores à 139 Versões do Firefox ESR anteriores à 115.24 Versões do Firefox ESR anteriores à 128.11 **Descrição** O problema deve-se ao escape insuficiente do caractere de nova linha no recurso "Copiar como cURL". Um atacante pode induzir um usuário a utilizar este comando, potencialmente resultando na execução de código local no sistema do usuário. **Recomendações** Para versões do Firefox anteriores à 139, atualize para a versão 139 ou posterior. Para versões do Firefox ESR anteriores à 115.24, atualize para a versão 115.24 ou posterior. Para versões do Firefox ESR anteriores à 128.11, atualize para a versão 128.11 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Firefox anteriores à 139 Versões do Firefox ESR anteriores à 128.11 **Descrição** Uma vulnerabilidade de clickjacking pode ser explorada para induzir um usuário a vazar detalhes de cartões de pagamento salvos para uma página maliciosa. **Recomendações** Para versões do Firefox anteriores à 139, atualize para a versão 139 ou posterior. Para versões do Firefox ESR anteriores à 128.11, atualize para a versão 128.11 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Firefox ESR anteriores à 128.10 Versões do Firefox ESR anteriores à 115.23 Versões do Thunderbird ESR anteriores à 128.10 **Descrição** O problema surge devido ao escape insuficiente de caracteres especiais no recurso "copiar como cURL". Isso poderia permitir que um atacante induzisse um usuário a executar um comando, potencialmente resultando em execução local de código no sistema do usuário. **Recomendações** Para versões do Firefox ESR anteriores à 128.10, atualize para a versão 128.10 ou posterior. Para versões do Firefox ESR anteriores à 115.23, atualize para a versão 115.23 ou posterior. Para versões do Thunderbird ESR anteriores à 128.10, atualize para a versão 128.10 ou posterior.

Nome do software vulnerável e versões afetadas: Versões do Google Chrome anteriores à 131.0.6778.69 Microsoft Edge (versões afetadas não especificadas) Descrição: O problema está relacionado a uma implementação inadequada no componente FileSystem, permitindo que um invasor remoto contorne as restrições do sistema de arquivos por meio de uma página HTML especialmente criada. Isso pode ser explorado por um invasor remoto para contornar as verificações de segurança padrão. A gravidade deste problema é classificada como baixa. Recomendações: Para versões do Google Chrome anteriores à 131.0.6778.69, atualize para a versão 131.0.6778.69 ou posterior para resolver o problema. Para o Microsoft Edge, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Firefox versions prior to 115 **Description** The issue is related to insufficient validation in the Drag and Drop API, which, when combined with social engineering, may allow an attacker to trick end-users into creating a shortcut to local system files. This could potentially be leveraged to execute arbitrary code. **Recommendations** For versions prior to 115, update to version 115 or later to resolve the issue. As a temporary workaround, consider restricting the use of the Drag and Drop API until a patch is available.

**Name of the Vulnerable Software and Affected Versions** Mozilla Firefox versions prior to 112 Mozilla Firefox ESR versions prior to 102.10 Mozilla Thunderbird versions prior to 102.10 **Description** The issue is related to the incorrect handling of a newline in a filename, which could allow a remote attacker to bypass file extension security mechanisms. This mechanism replaces malicious file extensions, such as .lnk, with .download. The bypass could lead to the accidental execution of malicious code. This bug only affects Firefox and Thunderbird on Windows, with other versions of these applications being unaffected. **Recommendations** For Mozilla Firefox versions prior to 112, update to version 112 or later. For Mozilla Firefox ESR versions prior to 102.10, update to version 102.10 or later. For Mozilla Thunderbird versions prior to 102.10, update to version 102.10 or later.

**Name of the Vulnerable Software and Affected Versions** Firefox versions prior to 112 Focus for Android versions prior to 112 Firefox ESR versions prior to 102.10 Firefox for Android versions prior to 112 Thunderbird versions prior to 102.10 **Description** The issue is related to the improper handling of file downloads with names ending in `.desktop`, which can be interpreted to run attacker-controlled commands. This bug only affects Firefox for Linux on certain distributions, with other operating systems being unaffected. The vulnerability can allow a remote attacker to bypass security restrictions and execute arbitrary commands. **Recommendations** For Firefox versions prior to 112, update to version 112 or later. For Focus for Android versions prior to 112, update to version 112 or later. For Firefox ESR versions prior to 102.10, update to version 102.10 or later. For Firefox for Android versions prior to 112, update to version 112 or later. For Thunderbird versions prior to 102.10, update to version 102.10 or later. As a temporary workaround, consider avoiding downloads of files with names ending in `.desktop` until a patch is available. Restrict access to potentially vulnerable systems to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Firefox versions prior to 110 Thunderbird versions prior to 102.8 Firefox ESR versions prior to 102.8 **Description** The issue is related to incorrect external management of a file name or path, which could allow a remote attacker to impact the confidentiality and integrity of protected information. After downloading a Windows `.url` shortcut from the local filesystem, an attacker could supply a remote path that would lead to unexpected network requests from the operating system, potentially leaking NTLM credentials to the resource. This bug only affects Firefox on Windows, with other operating systems being unaffected. **Recommendations** For Firefox versions prior to 110, update to version 110 or later. For Thunderbird versions prior to 102.8, update to version 102.8 or later. For Firefox ESR versions prior to 102.8, update to version 102.8 or later.

**Name of the Vulnerable Software and Affected Versions** jsuites versions prior to 5.0.1 **Description** The issue is related to Cross-site Scripting (XSS) due to improper user-input sanitization in the `Editor()` function. This allows for potential malicious script execution. **Recommendations** For versions prior to 5.0.1, update to version 5.0.1 or later to resolve the issue. As a temporary workaround, consider disabling the `Editor()` function until a patch is available. Restrict access to user-input fields that utilize the `Editor()` function to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Firefox versions prior to 115 **Description** The issue is related to incorrect handling of symbolic links before accessing a file, potentially allowing a remote attacker to gain access to confidential data. Uploading files containing symlinks may trick a user into submitting sensitive data to a malicious website. **Recommendations** For versions prior to 115, update to version 115 or later to resolve the issue. As a temporary workaround, consider restricting file uploads or disabling the feature that handles symlinks to minimize the risk of exploitation. Avoid using the file upload feature in the affected versions until the issue is resolved.