Martin Bajanik

**Nome do Software Vulnerável e Versões Afetadas** Versões do macOS anteriores à 15.6 **Descrição** O processamento de conteúdo web criado maliciosamente pode levar a Universal Cross-Site Scripting devido a um gerenciamento de estado melhorado. **Recomendações** Atualize para a versão 15.6 do macOS.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 108.0.5359.71 **Descrição** O problema está relacionado a uma implementação inadequada no DevTools, que permitia que um invasor contornasse as restrições de acesso a arquivos. Isso poderia ser feito convencendo um usuário a instalar uma extensão maliciosa e utilizando uma página HTML especialmente criada para esse fim. A exploração dessa vulnerabilidade pode permitir que um invasor remoto modifique arquivos. **Recomendações** Para versões do Google Chrome anteriores à 108.0.5359.71, atualize para a versão 108.0.5359.71 ou posterior para resolver o problema. Como solução temporária, considere restringir a instalação de extensões a fontes confiáveis e evitar o uso de páginas HTML criadas especificamente para esse fim.

**Nome do software vulnerável e versões afetadas** Versões do WebKitGTK e do WPE WebKit anteriores à versão corrigida Versões do Safari anteriores à 15.3 Versões do iOS anteriores à 15.3 Versões do iPadOS anteriores à 15.3 Versões do watchOS anteriores à 8.4 Versões do tvOS anteriores à 15.3 Versões do macOS Monterey anteriores à 12.2 **Descrição** O problema está relacionado a uma falha de origem cruzada na API IndexDB, que foi corrigida com uma validação de entrada aprimorada. Esse problema pode permitir que um invasor remoto obtenha acesso não autorizado a informações protegidas. Um site pode ser capaz de rastrear informações confidenciais do usuário. **Recomendações** Para o WebKitGTK e o WPE WebKit, atualize para uma versão que inclua a correção para o problema da API IndexDB. Para o Safari, atualize para a versão 15.3 ou posterior. Para o iOS, atualize para a versão 15.3 ou posterior. Para o iPadOS, atualize para a versão 15.3 ou posterior. Para o watchOS, atualize para a versão 8.4 ou posterior. Para o tvOS, atualize para a versão 15.3 ou posterior. Para o macOS Monterey, atualize para a versão 12.2 ou posterior. Como solução alternativa temporária, considere restringir o acesso à API IndexDB até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do Safari anteriores à 15.2 Versões do tvOS anteriores à 15.2 Versões do macOS Monterey anteriores à 12.1 Versões do iOS anteriores à 15.2 Versões do iPadOS anteriores à 15.2 Versões do watchOS anteriores à 8.3 **Descrição** Uma condição de corrida foi corrigida com um tratamento aprimorado do estado. O processamento de conteúdo da web criado de forma maliciosa pode levar à execução de código arbitrário. O problema está relacionado a erros de sincronização ao usar recursos compartilhados nos módulos WebKitGTK e WPE WebKit para exibir páginas da web. **Recomendações** Para versões do Safari anteriores à 15.2, atualize para a versão 15.2 ou posterior. Para versões do tvOS anteriores à 15.2, atualize para a versão 15.2 ou posterior. Para versões do macOS Monterey anteriores à 12.1, atualize para a versão 12.1 ou posterior. Para versões do iOS anteriores à 15.2, atualize para a versão 15.2 ou posterior. Para versões do iPadOS anteriores à 15.2, atualize para a versão 15.2 ou posterior. Para versões do watchOS anteriores à 8.3, atualize para a versão 8.3 ou posterior.

**Name of the Vulnerable Software and Affected Versions** Node.js versions prior to 6.15.0 Node.js versions prior to 8.14.0 Node.js versions prior to 10.14.0 Node.js versions prior to 11.3.0 **Description** The issue concerns hostname spoofing in the URL parser for the javascript protocol. If a Node.js application uses `url.parse()` to determine the URL hostname, that hostname can be spoofed by using a mixed case "javascript:" protocol, such as "javAscript:". This affects security decisions made about the URL based on the hostname, which may be incorrect. Other protocols are not affected by this issue. **Recommendations** For versions prior to 6.15.0, update to version 6.15.0 or later. For versions prior to 8.14.0, update to version 8.14.0 or later. For versions prior to 10.14.0, update to version 10.14.0 or later. For versions prior to 11.3.0, update to version 11.3.0 or later.