Gal Weizman

**Nome do Software Vulnerável e Versões Afetadas** Google Chrome versões anteriores a 143.0.7499.192 **Descrição** A aplicação insuficiente de políticas na tag `WebView` permite que um invasor remoto injete scripts ou HTML em páginas privilegiadas por meio de uma extensão do Chrome manipulada. Este problema pode ser explorado se um usuário for convencido a instalar uma extensão maliciosa. Especificamente, a falha permite que extensões interceptem o tráfego e injetem JavaScript no painel lateral de IA Gemini, que opera em um contexto altamente privilegiado. Isso leva à escalada de privilégios, permitindo que o invasor ative silenciosamente a webcam e o microfone, capture capturas de tela, leia arquivos locais e injete mensagens falsas na interface do Gemini. **Recomendações** Atualize o Google Chrome para a versão 143.0.7499.192 ou posterior. Restrinja as políticas de instalação de extensões por meio de políticas corporativas ou educação do usuário para evitar que extensões não confiáveis sejam adicionadas.

**Name of the Vulnerable Software and Affected Versions** Snyk Advisor versions prior to 28th March 2023 **Description** The issue concerns a stored XSS vulnerability. A feature of Snyk Advisor is to display the contents of a scanned package's Readme on its package health page. An attacker could create a package in NPM with an associated markdown README file containing XSS-able HTML tags. Upon Snyk Advisor importing the package, the XSS would run each time an end user browsed to the package's page on Snyk Advisor. **Recommendations** For versions prior to 28th March 2023, consider disabling the feature that displays the contents of a scanned package's Readme on its package health page until a patch is available. Restrict access to the package health page to minimize the risk of exploitation. Avoid using the Snyk Advisor website until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 84.0.4147.89 **Descrição** Uma falha de contorno de política no componente Política de Segurança de Conteúdo (CSP) do Google Chrome permitiu que um invasor remoto contornasse a política de segurança de conteúdo por meio de uma página HTML maliciosa. A vulnerabilidade está relacionada a um controle de acesso incorreto, o que poderia permitir que um invasor remoto comprometesse a integridade dos dados. Estima-se que quase todos os sites do mundo estejam em risco devido a essa falha. A vulnerabilidade poderia potencialmente expor senhas em texto simples por meio da interface do usuário ou em arquivos locais. **Recomendações** Para versões do Google Chrome anteriores à 84.0.4147.89, atualize para a versão 84.0.4147.89 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a dados confidenciais e evitar o uso de senhas em texto simples em arquivos locais até que a atualização seja aplicada.