Luan Herrera

**Nome do Software Vulnerável e Versões Afetadas** Google Chrome no Windows versões anteriores a 148.0.7778.168 **Descrição** A aplicação insuficiente de políticas no IFrame Sandbox permite que um invasor remoto ignore as restrições de navegação por meio de uma página HTML manipulada. **Recomendações** Atualize o Google Chrome no Windows para a versão 148.0.7778.168 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Google Chrome anteriores a 144.0.7559.110 **Descrição** Um problema na API Background Fetch do Google Chrome permitiu que um atacante remoto vazasse dados de origem cruzada por meio de uma página HTML especialmente elaborada. A severidade de segurança é classificada como Alta. **Recomendações** Atualize o Google Chrome para a versão 144.0.7559.110 ou posterior.

Name of the Vulnerable Software and Affected Versions Google Chrome versões anteriores a 147.0.7727.55 Description Uma falha de bypass de política existia no componente Downloads do Google Chrome. Isso permitia que um atacante remoto contornasse as proteções de vários downloads por meio de uma página HTML especialmente criada. Recommendations Atualize o Google Chrome para a versão 147.0.7727.55 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Google Chrome anteriores à 145.0.7632.45 **Descrição** Existe uma falha no Google Chrome devido à aplicação insuficiente de políticas em Frames. Isso permite que um atacante remoto realize falsificação de interface utilizando uma página HTML especialmente criada. A severidade de segurança do Chromium é classificada como Média. **Recomendações** Atualize o Google Chrome para a versão 145.0.7632.45 ou posterior.

Nome do software vulnerável e versões afetadas: Versões do Firefox anteriores à 127 Versões do Firefox ESR anteriores à 115.12 Versões do Thunderbird anteriores à 115.12 Descrição: O problema está relacionado a erros nas configurações de segurança dos navegadores Mozilla, permitindo que um invasor remoto contorne as restrições de segurança e realize um ataque de clickjacking. Ao explorar essa vulnerabilidade, um iframe em sandbox poderia apresentar um botão que, se clicado por um usuário, contornaria as restrições para abrir uma nova janela, potencialmente enganando o navegador com um cabeçalho `X-Frame-Options`. Recomendações: Para versões do Firefox anteriores à 127, atualize para a versão 127 ou posterior para resolver o problema. Para versões do Firefox ESR anteriores à 115.12, atualize para a versão 115.12 ou posterior para resolver o problema. Para versões do Thunderbird anteriores à 115.12, atualize para a versão 115.12 ou posterior para resolver o problema.

**Name of the Vulnerable Software and Affected Versions** macOS versions prior to 14 **Description** The issue was addressed with improved checks. Processing web content may disclose sensitive information. **Recommendations** For versions prior to 14, update to macOS Sonoma 14 to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 115.0.5790.98 **Description** The issue is related to an inappropriate implementation in WebApp Installs, allowing a remote attacker to potentially spoof the contents of the Omnibox (URL bar) via a crafted HTML page. This could lead to the attacker gaining access to confidential information. **Recommendations** For versions prior to 115.0.5790.98, update to version 115.0.5790.98 or later to resolve the issue. As a temporary workaround, consider restricting access to WebApp Installs until a patch is applied. Avoid using crafted HTML pages that could exploit this issue until the update is installed.

Name of the Vulnerable Software and Affected Versions Google Chrome versões anteriores a 147.0.7727.55 Description Um problema de bypass de política existia no componente de áudio do Google Chrome, em versões anteriores a 147.0.7727.55. Um atacante remoto poderia ignorar as restrições de download do sandbox convencendo um usuário a realizar gestos específicos da interface do usuário em uma página HTML criada. A gravidade de segurança do Chromium é classificada como Baixa. Recommendations Atualize o Google Chrome para a versão 147.0.7727.55 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 108.0.5359.71 Microsoft Edge (versões afetadas não especificadas) **Descrição** O problema está relacionado à validação insuficiente de entradas não confiáveis no componente Downloads, permitindo que um invasor contorne as restrições de downloads. Isso pode ser feito convencendo um usuário a instalar uma extensão maliciosa por meio de uma página HTML criada para esse fim. O invasor pode explorar essa vulnerabilidade para comprometer a integridade dos dados. **Recomendações** Para versões do Google Chrome anteriores à 108.0.5359.71, atualize para a versão 108.0.5359.71 ou posterior para resolver o problema. Para o Microsoft Edge, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Firefox anteriores à 109 Versões do Thunderbird anteriores à 102.7 Versões do Firefox ESR anteriores à 102.7 **Descrição** O problema está relacionado à falta de uma confirmação adequada da origem, permitindo navegações ao arrastar uma URL de um iframe de origem cruzada para a mesma guia. Isso pode levar a ataques de falsificação de sites. A vulnerabilidade pode permitir que um invasor remoto comprometa a integridade dos dados. **Recomendações** Para versões do Firefox anteriores à 109, atualize para a versão 109 ou posterior para resolver o problema. Para versões do Thunderbird anteriores à 102.7, atualize para a versão 102.7 ou posterior para resolver o problema. Para versões do Firefox ESR anteriores à 102.7, atualize para a versão 102.7 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Firefox anteriores à 101 Versões do Firefox ESR anteriores à 91.10 Versões do Thunderbird anteriores à 91.10 **Descrição** O problema está relacionado à implementação do mecanismo Cross-Origin Resource Sharing (CORS) nos navegadores, que permite que um site malicioso descubra o tamanho de um recurso de origem cruzada que suporte solicitações Range. Isso pode ser feito explorando a vulnerabilidade com uma solicitação especialmente criada contendo um cabeçalho Range. **Recomendações** Para versões do Firefox anteriores à 101, atualize para a versão 101 ou posterior para resolver o problema. Para versões do Firefox ESR anteriores à 91.10, atualize para a versão 91.10 ou posterior para resolver o problema. Para versões do Thunderbird anteriores à 91.10, atualize para a versão 91.10 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Firefox anteriores à 97 **Descrição** O problema está relacionado a erros no processamento de conteúdo HTML. Isso pode permitir que um invasor remoto execute código arbitrário por meio de uma página da Web especialmente criada para esse fim. Foram relatados bugs de segurança de memória, com indícios de corrupção de memória, que poderiam ser potencialmente explorados para executar código arbitrário. **Recomendações** Para versões anteriores à 97, atualize para a versão 97 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a conteúdo HTML potencialmente vulnerável até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do Firefox anteriores à 97 Versões do Thunderbird anteriores à 91.6 Versões do Firefox ESR anteriores à 91.6 **Descrição** O problema está relacionado à forma como as mensagens de erro são tratadas ao importar recursos usando Web Workers, permitindo potencialmente que um invasor distinga entre respostas `application/javascript` e respostas que não sejam de script e, assim, obtenha informações entre origens. Isso poderia ser explorado para obter acesso não autorizado a informações protegidas. **Recomendações** Para versões do Firefox anteriores à 97, atualize para a versão 97 ou posterior. Para versões do Thunderbird anteriores à 91.6, atualize para a versão 91.6 ou posterior. Para versões do Firefox ESR anteriores à 91.6, atualize para a versão 91.6 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 97.0.4692.71 **Descrição** O problema está relacionado a uma implementação inadequada no Blink, permitindo que um invasor remoto vaze dados entre origens por meio de uma página HTML maliciosa. Isso se deve à falta de validação adequada dos dados de origem, possibilitando que um invasor divulgue informações protegidas usando uma página HTML especialmente criada. **Recomendações** Para versões anteriores à 97.0.4692.71, atualize para a versão 97.0.4692.71 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a dados confidenciais e implementar medidas de segurança adicionais para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 97.0.4692.71 **Descrição** O problema está relacionado a uma implementação inadequada no módulo de navegação, permitindo que um invasor remoto vaze dados entre origens por meio de uma página HTML maliciosa. Isso poderia revelar informações protegidas. O problema está associado a verificações de segurança implementadas incorretamente para elementos padrão. **Recomendações** Para versões anteriores à 97.0.4692.71, atualize para a versão 97.0.4692.71 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a páginas HTML potencialmente vulneráveis até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 96.0.4664.93 Microsoft Edge (versões afetadas não especificadas) **Descrição** O problema está relacionado à validação insuficiente de dados no carregador, permitindo que um invasor remoto divulgue dados entre origens por meio de uma página HTML maliciosa. Isso poderia levar à divulgação de informações protegidas. **Recomendações** Para versões do Google Chrome anteriores à 96.0.4664.93, atualize para a versão 96.0.4664.93 ou posterior para resolver o problema. Para o Microsoft Edge, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 96.0.4664.45 **Descrição** O problema está relacionado a uma implementação inadequada no componente de cache do Google Chrome, que pode ser explorada por um invasor remoto para causar o vazamento de dados entre origens. Isso pode ser feito por meio de uma página HTML especialmente criada. A vulnerabilidade também está associada a erros na implementação de verificações de segurança para elementos padrão, permitindo potencialmente que um invasor remoto execute código arbitrário. **Recomendações** Para versões anteriores à 96.0.4664.45, atualize para a versão 96.0.4664.45 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 96.0.4664.45 **Descrição** O problema diz respeito à aplicação insuficiente de políticas no componente de seleção de contatos do Google Chrome no Android. Isso permite que um invasor remoto falsifique o conteúdo da Omnibox (barra de URL) por meio de uma página HTML maliciosa, podendo contornar restrições de segurança e obter acesso não autorizado a informações protegidas. **Recomendações** Para versões anteriores à 96.0.4664.45, atualize para a versão 96.0.4664.45 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 90.0.4430.72 **Descrição** O problema está relacionado à validação insuficiente de entradas não confiáveis nas extensões, permitindo que um invasor acesse arquivos locais por meio de uma extensão do Chrome especialmente criada para esse fim, caso o usuário seja convencido a instalar uma extensão maliciosa. Isso pode levar ao acesso não autorizado a arquivos locais. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. **Recomendações** Para versões do Google Chrome anteriores à 90.0.4430.72, atualize para a versão 90.0.4430.72 ou posterior para resolver o problema. Como solução temporária, considere restringir a instalação de extensões apenas a fontes confiáveis até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 89.0.4389.72 **Descrição** O problema está relacionado à implementação inadequada no modo de tela cheia, permitindo que um invasor remoto falsifique o conteúdo da Omnibox (barra de URL) por meio de uma página HTML maliciosa. Isso pode comprometer a integridade dos dados. **Recomendações** Para versões anteriores à 89.0.4389.72, atualize para a versão 89.0.4389.72 ou posterior para resolver o problema.