Michal Bentkowski

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 102.0.5005.61 **Descrição** A vulnerabilidade existe devido à validação insuficiente de entradas não confiáveis no componente de transferência de dados do Google Chrome. Isso permite que um invasor remoto contorne a política de mesma origem por meio de um conteúdo de área de transferência malicioso, podendo divulgar informações protegidas. O invasor pode explorar essa vulnerabilidade usando uma página da web especialmente criada para esse fim. **Recomendações** Para versões anteriores à 102.0.5005.61, atualize para a versão 102.0.5005.61 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao componente Data Transfer até que um patch seja aplicado. Evite usar o conteúdo da área de transferência no endpoint da API afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas: Sanitize, versões 3.0.0 a 5.2.0 Descrição: O problema está relacionado a medidas de proteção insuficientes na biblioteca Sanitize para Ruby, permitindo que um invasor remoto acesse dados confidenciais, comprometa sua integridade e cause uma negação de serviço. Especificamente, ao usar a configuração “relaxed” do Sanitize ou uma configuração personalizada que permita certos elementos, alguns conteúdos nos elementos `math` ou `svg` podem não ser sanitizados corretamente. Isso pode levar a cross-site scripting (XSS) ou outro comportamento indesejado quando renderizado em um navegador, especialmente se a configuração permitir elementos como `iframe`, `math`, `noembed`, `noframes`, `noscript`, `plaintext`, `script`, `style`, `svg` ou `xmp`. Recomendações: Para as versões 3.0.0 a 5.2.0 do Sanitize, atualize para a versão 5.2.1 para resolver o problema. Como solução temporária, considere restringir o uso da configuração “relaxed” do Sanitize ou de configurações personalizadas que permitam elementos HTML potencialmente vulneráveis até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Microsoft Edge (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma vulnerabilidade de falsificação que ocorre quando o Microsoft Edge não analisa corretamente o conteúdo HTTP. Isso poderia permitir que um invasor remoto realizasse ataques de spoofing redirecionando usuários para um site especialmente criado, o qual poderia falsificar conteúdo ou servir como ponto de pivô para encadear um ataque com outras vulnerabilidades em serviços web. Para explorar essa vulnerabilidade, o usuário deve clicar em uma URL especialmente criada. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.