Eliya Stein

**Nome do software vulnerável e versões afetadas: Versões do macOS anteriores ao Big Sur 11.2 Versões da Atualização de Segurança anteriores à 2021-001 Catalina Versões da Atualização de Segurança anteriores à 2021-001 Mojave Descrição: A vulnerabilidade permite que conteúdo da web criado com intenção maliciosa viole a política de sandboxing do iframe. Isso foi corrigido com a aplicação aprimorada do sandboxing do iframe. Recomendações: Para versões do macOS anteriores ao Big Sur 11.2, atualize para o macOS Big Sur 11.2 ou posterior. Para versões da Atualização de Segurança anteriores à 2021-001 Catalina, aplique a Atualização de Segurança 2021-001 Catalina ou posterior. Para versões da Atualização de Segurança anteriores à 2021-001 Mojave, aplique a Atualização de Segurança 2021-001 Mojave ou posterior.

**Nome do software vulnerável e versões afetadas: Versões do macOS Big Sur anteriores à 11.2 Versões da Atualização de Segurança anteriores à 2021-001 Catalina Versões da Atualização de Segurança anteriores à 2021-001 Mojave Versões do watchOS anteriores à 7.3 Versões do tvOS anteriores à 14.4 Versões do iOS anteriores à 14.4 Versões do iPadOS anteriores à 14.4 Descrição: Este problema foi resolvido com a aplicação aprimorada da sandbox de iframe. Conteúdo da web criado de forma maliciosa pode violar a política de sandboxing de iframe. O problema foi explorado pelo malvertiser “ScamClub” para contornar o sandboxing de iframe usando a função postMessage(). Mais de 50 milhões de exibições de anúncios maliciosos foram realizadas nos últimos 90 dias, com picos de até 16 milhões em um único dia. Recomendações: Para versões do macOS Big Sur anteriores à 11.2, atualize para o macOS Big Sur 11.2. Para versões da Atualização de Segurança anteriores à 2021-001 Catalina, aplique a Atualização de Segurança 2021-001 Catalina. Para versões da Atualização de Segurança anteriores à 2021-001 Mojave, aplique a Atualização de Segurança 2021-001 Mojave. Para versões do watchOS anteriores à 7.3, atualize para o watchOS 7.3. Para versões do tvOS anteriores à 14.4, atualize para o tvOS 14.4. Para versões do iOS anteriores à 14.4, atualize para o iOS 14.4. Para versões do iPadOS anteriores à 14.4, atualize para o iPadOS 14.4. Como solução alternativa temporária, considere restringir o uso da função `postMessage()` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Firefox para Android, versões anteriores à 85 **Descrição** O problema está relacionado a erros no gerenciamento de privilégios dentro do ambiente isolado do iframe do navegador Firefox para Android. Isso poderia permitir que um invasor remoto comprometesse a integridade dos dados. A vulnerabilidade pode ser explorada por meio de navegações que utilizam o esquema de URL `intent` específico do Android, permitindo potencialmente que um invasor escape da sandbox do iframe. **Recomendações** Para versões anteriores à 85, atualize para a versão 85 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao esquema de URL `intent` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 91.0.4472.77 **Descrição** O problema está relacionado à aplicação insuficiente de políticas no componente PopupBlocker do Google Chrome, permitindo que um invasor remoto contorne as restrições de navegação. Isso pode ser feito por meio de um iframe malicioso, podendo afetar a integridade dos dados. **Recomendações** Para versões anteriores à 91.0.4472.77, atualize para a versão 91.0.4472.77 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso de iframes no Google Chrome até que a atualização seja aplicada.

**Name of the Vulnerable Software and Affected Versions** Safari versions prior to 13.0.1 iOS versions prior to 13 **Description** This issue allows maliciously crafted web content to violate iframe sandboxing policy due to inadequate iframe sandbox enforcement. The estimated number of potentially affected devices worldwide is not specified. There is no information about real-world incidents where this issue was exploited. **Recommendations** For Safari versions prior to 13.0.1, update to Safari 13.0.1 or later to resolve the issue. For iOS versions prior to 13, update to iOS 13 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 75.0.3770.80 **Description** The issue is related to the security interface of the popup blocker in Google Chrome, which is associated with access control deficiencies. Exploitation of this issue may allow a remote attacker to impact data integrity through a specially crafted HTML page. **Recommendations** For versions prior to 75.0.3770.80, update to version 75.0.3770.80 or later to resolve the issue. As a temporary workaround, consider restricting access to specially crafted HTML pages to minimize the risk of exploitation.