Ma7H1As

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 84.0.4147.89 **Descrição** Uma falha de contorno de política no componente Política de Segurança de Conteúdo (CSP) do Google Chrome permitiu que um invasor remoto contornasse a política de segurança de conteúdo por meio de uma página HTML maliciosa. A vulnerabilidade está relacionada a um controle de acesso incorreto, o que poderia permitir que um invasor remoto comprometesse a integridade dos dados. Estima-se que quase todos os sites do mundo estejam em risco devido a essa falha. A vulnerabilidade poderia potencialmente expor senhas em texto simples por meio da interface do usuário ou em arquivos locais. **Recomendações** Para versões do Google Chrome anteriores à 84.0.4147.89, atualize para a versão 84.0.4147.89 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a dados confidenciais e evitar o uso de senhas em texto simples em arquivos locais até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Windows (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma vulnerabilidade de elevação de privilégios na pasta “Public Account Pictures”, que lida incorretamente com junções. Para explorar essa vulnerabilidade, um invasor deve primeiro obter acesso de execução no sistema da vítima. Isso permite que o invasor potencialmente eleve seus privilégios. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Ferramenta de Remoção de Software Malicioso do Windows (MSRT) (versões afetadas não especificadas) **Descrição** Existe uma vulnerabilidade de elevação de privilégios devido ao tratamento inadequado de junções pela Ferramenta de Remoção de Software Malicioso do Windows (MSRT). Para explorar essa vulnerabilidade, um invasor deve primeiro obter acesso de execução no sistema da vítima. A vulnerabilidade pode ser explorada por um aplicativo especialmente criado, permitindo que um invasor eleve seus privilégios. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Serviço de Perfil do Usuário do Windows (ProfSvc) (versões afetadas não especificadas) **Descrição** O problema está relacionado ao tratamento inadequado de links simbólicos pelo Serviço de Perfil do Usuário do Windows, o que pode permitir que um invasor eleve seus privilégios. Isso pode afetar potencialmente o sistema. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 77.0.3865.75 **Description** The issue is related to insufficient input validation in the Chromium browser's user interface, which can be exploited by a remote attacker using a specially crafted HTML page. This can lead to data integrity violations. The problem is described as UI spoofing, allowing an attacker to spoof notifications. **Recommendations** For versions prior to 77.0.3865.75, update to version 77.0.3865.75 or later to resolve the issue. As a temporary workaround, consider restricting access to potentially vulnerable HTML pages until the update is applied. Avoid using the browser for sensitive operations until the issue is resolved.

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 77.0.3865.75 **Description** The issue is related to insufficient policy enforcement in Chromium, allowing a remote attacker to perform domain spoofing via a crafted HTML page. This can potentially disrupt data integrity by exploiting the vulnerability with a specially crafted HTML page. **Recommendations** For versions prior to 77.0.3865.75, update to version 77.0.3865.75 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 77.0.3865.75 **Description** The issue concerns a UI spoofing problem in Chromium, which is part of Google Chrome. It allows a remote attacker to spoof notifications by using a crafted HTML page. The vulnerability is related to insufficient input validation, potentially enabling a remote attacker to compromise data integrity via a specially crafted HTML page. **Recommendations** For versions prior to 77.0.3865.75, update to version 77.0.3865.75 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Internet Explorer (affected versions not specified) **Description** A spoofing issue arises due to Internet Explorer's improper handling of URLs. This could allow a remote attacker to redirect a user to a specially crafted website, potentially spoofing content or serving as a pivot to chain an attack with other vulnerabilities in web services. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Microsoft Windows (affected versions not specified) **Description** The issue is related to errors in handling hard links in the Windows AppX Deployment Service (AppXSVC), which can be exploited by an attacker to elevate their privileges using a specially crafted application. An elevation-of-privilege vulnerability allows attackers to affect the system. There have been reports of a bypass for the recent Windows patch, with a second zero-day exploit disclosed that apparently bypasses Microsoft's patch for a Windows Elevation of Privilege (EoP) vulnerability. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.