Matheus Vrech

**Nome do software vulnerável e versões afetadas** Versões do Firefox anteriores à 100 Versões do Firefox ESR anteriores à 91.9 Versões do Thunderbird anteriores à 91.9 **Descrição** O problema está relacionado ao tratamento do atributo SameSite em cookies pelo modo de leitura no Firefox, Firefox ESR e no cliente de e-mail Thunderbird. Isso permite que um invasor remoto intercepte cookies com o atributo SameSite definido. A vulnerabilidade é causada pela falha em omitir corretamente os cookies com o atributo SameSite quando as solicitações são iniciadas através do modo de leitura. **Recomendações** Para versões do Firefox anteriores à 100, atualize para a versão 100 ou posterior. Para versões do Firefox ESR anteriores à 91.9, atualize para a versão 91.9 ou posterior. Para versões do Thunderbird anteriores à 91.9, atualize para a versão 91.9 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Thunderbird anteriores à 91.9 Versões do Firefox ESR anteriores à 91.9 Versões do Firefox anteriores à 100 **Descrição** O problema está relacionado a uma implementação incorreta da nova palavra-chave de sandbox do iframe `allow-top-navigation-by-user-activation`, o que poderia levar à execução de scripts sem a presença de `allow-scripts`. Isso permite que um invasor remoto contorne as restrições de segurança existentes para frames carregados, explorando a vulnerabilidade no ambiente isolado dos navegadores web com iframe. **Recomendações** Para versões do Thunderbird anteriores à 91.9, atualize para a versão 91.9 ou posterior. Para versões do Firefox ESR anteriores à 91.9, atualize para a versão 91.9 ou posterior. Para versões do Firefox anteriores à 100, atualize para a versão 100 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Firefox anteriores à 74 **Descrição** A vulnerabilidade permite que um invasor insira estilos arbitrários em um bloco CSS explorando a instrução @import, contornando a finalidade da Política de Segurança de Conteúdo (CSP) ao proteger blocos CSS com o recurso nonce. **Recomendações** Para versões anteriores à 74, atualize para a versão 74 ou posterior para resolver o problema.

**Name of the Vulnerable Software and Affected Versions** Firefox versions 69 **Description** The issue is related to a Content-Security-Policy bypass that allows the execution of JavaScript in a protected document through an object tag, leading to cross-site scripting. This flaw can be exploited by a remote attacker to gain unauthorized access to confidential data and impact data integrity. **Recommendations** For Firefox version 69, update to version 70 or later to resolve the issue. As a temporary workaround, consider disabling the use of object tags in Firefox until a patch is available. Restrict access to sensitive data and ensure proper input validation to minimize the risk of exploitation.