Kestrel

**Nome do software vulnerável e versões afetadas** Versões do Mozilla Firefox anteriores à 122 Versões do Thunderbird anteriores à 115.7 **Descrição** O problema está relacionado a um ataque de spoofing, no qual um site de phishing poderia redirecionar uma caixa de diálogo `about:` para exibir conteúdo de phishing com uma origem incorreta na barra de endereços. Isso se deve a um controle de acesso insuficiente no Mozilla Firefox, no Firefox ESR e no cliente de e-mail Thunderbird, o que pode permitir que um invasor remoto realize ataques de spoofing. **Recomendações** Para versões do Mozilla Firefox anteriores à 122, atualize para a versão 122 ou posterior para resolver o problema. Para versões do Thunderbird anteriores à 115.7, atualize para a versão 115.7 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Firefox anteriores à 76 **Descrição** Uma falha de lógica na implementação da barra de endereço poderia permitir que um invasor local falsificasse o endereço atual selecionando uma origem diferente e removendo o foco do elemento `input`. **Recomendações** Para versões anteriores à 76, atualize para a versão 76 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à implementação da barra de endereço até que um patch esteja disponível.

Name of the Vulnerable Software and Affected Versions: Firefox versions prior to 64 Description: The issue is related to WebExtension content scripts being loaded into about: pages under certain circumstances, contrary to the permissions granted to extensions. This could enable an extension to interfere with the loading and usage of these pages, utilizing capabilities intended to be restricted. Recommendations: For versions prior to 64, update to version 64 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Firefox versions prior to 56 **Description** The issue is related to the WebExtensions module in Mozilla Firefox, which has an insufficient input validation mechanism. This allows an attacker to potentially gain unauthorized access to protected information by exploiting the vulnerability. The vulnerability could be used to load a privileged "about:" URL in the extension UI, bypassing security checks. **Recommendations** For versions prior to 56, update to a version that contains a fix for this issue to prevent exploitation. As a temporary workaround, consider restricting the use of WebExtensions that could potentially load privileged URLs in the extension UI.