Giorgio Maone

**Nome do software vulnerável e versões afetadas** Versões do Firefox anteriores à 76 **Descrição** O problema decorre da serialização incorreta da origem de URLs com endereços IPv6, o que pode levar a verificações de segurança incorretas. **Recomendações** Para versões anteriores à 76, atualize para a versão 76 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Firefox anteriores à 76 **Descrição** Documentos criados usando URLs do tipo `data:` em um elemento `OBJECT` não herdavam a Política de Segurança de Conteúdo (CSP) do contexto de criação. Isso permitia a execução de scripts que deveriam ter sido bloqueados, embora com uma origem única e opaca. **Recomendações** Para versões anteriores à 76, atualize para a versão 76 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso de URLs data: em elementos OBJECT para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** PHP versions prior to 5.2.11 **Description** The issue is related to an integer overflow in the `xml utf8 decode` function, which can be exploited by remote attackers using a crafted string with overlong UTF-8 encoding. This allows attackers to bypass protection mechanisms against cross-site scripting (XSS) and SQL injection. **Recommendations** For PHP versions prior to 5.2.11, update to version 5.2.11 or later to resolve the issue. As a temporary workaround, consider restricting input to prevent the use of overlong UTF-8 encoding.

Name of the Vulnerable Software and Affected Versions: Firefox version 1.0.3 Description: The issue allows remote attackers to execute arbitrary Javascript in other domains. This is achieved by using an IFRAME and causing the browser to navigate to a previous javascript: URL, which can lead to arbitrary code execution. Recommendations: For Firefox version 1.0.3, update to a newer version to mitigate the risk.

Name of the Vulnerable Software and Affected Versions: Firefox version 1.0.3 Description: The issue allows remote web sites on the browser's whitelist to execute arbitrary Javascript with chrome privileges. This can lead to arbitrary code execution on the system when combined with other vulnerabilities. The exploitation can be demonstrated using a javascript: URL as the package icon and a cross-site scripting (XSS) attack on a vulnerable whitelist site. Recommendations: For Firefox version 1.0.3, consider restricting access to the `install` function until a patch is available. As a temporary workaround, avoid using the `javascript:` URL scheme for package icons to minimize the risk of exploitation.