Narendra Bhati

Nome do Software Vulnerável e Versões Afetadas: Firefox para iOS versões anteriores à 141 Descrição: Iframes em sandbox em páginas web poderiam potencialmente permitir downloads para o dispositivo, contornando as restrições de sandbox esperadas declaradas na página pai. Recomendações: Atualize o Firefox para iOS para a versão 141 ou posterior.

Nome do software vulnerável e versões afetadas: Versões do Google Chrome anteriores à 131.0.6778.69 Microsoft Edge (versões afetadas não especificadas) Descrição: O problema está relacionado a uma implementação inadequada no recurso de preenchimento automático, o que pode permitir que um invasor remoto realize falsificação da interface do usuário por meio de uma página HTML maliciosa. Isso pode ocorrer se o invasor convencer um usuário a realizar ações específicas na interface do usuário. A vulnerabilidade está associada a erros na apresentação de informações à interface do usuário. Recomendações: Para versões do Google Chrome anteriores à 131.0.6778.69, atualize para a versão 131.0.6778.69 ou posterior para resolver o problema. Para o Microsoft Edge, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade. Como solução temporária, considere desativar o recurso de preenchimento automático até que um patch esteja disponível. Restrinja o acesso a módulos potencialmente vulneráveis para minimizar o risco de exploração. Evite usar o recurso de preenchimento automático em pontos de extremidade de API afetados até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do iOS anteriores à 17.7.1 Versões do iPadOS anteriores à 17.7.1 Versões do tvOS anteriores à 2.1 Versões do iOS anteriores à 18.1 Versões do iPadOS anteriores à 18.1 Versões do macOS Sequoia anteriores à 15.1 Versões do Safari anteriores à 18.1 **Descrição** Este problema foi resolvido por meio de um gerenciamento de estado aprimorado. Um invasor pode ser capaz de abusar de uma relação de confiança para baixar conteúdo malicioso. **Recomendações** Para versões do iOS anteriores à 17.7.1, atualize para o iOS 17.7.1 ou posterior. Para versões do iPadOS anteriores à 17.7.1, atualize para o iPadOS 17.7.1 ou posterior. Para versões do visionOS anteriores à 2.1, atualize para o visionOS 2.1 ou posterior. Para versões do iOS anteriores à 18.1, atualize para o iOS 18.1 ou posterior. Para versões do iPadOS anteriores à 18.1, atualize para o iPadOS 18.1 ou posterior. Para versões do macOS Sequoia anteriores à 15.1, atualize para o macOS Sequoia 15.1 ou posterior. Para versões do Safari anteriores à 18.1, atualize para o Safari 18.1 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Apple iOS anteriores à 18.1 Versões do Apple iOS anteriores à 17.7.1 Versões do Apple iPadOS anteriores à 18.1 Versões do Apple iPadOS anteriores à 17.7.1 Versões do Apple tvOS anteriores à 18.1 Versões do Apple watchOS anteriores à 11.1 Versões do Apple visionOS anteriores à 2.1 Versões do Apple macOS Sequoia anteriores à 15.1 Versões do Apple Safari anteriores à 18.1 **Descrição** O problema foi resolvido com verificações aprimoradas. O processamento de conteúdo da web criado de forma maliciosa pode impedir que a Política de Segurança de Conteúdo seja aplicada. **Recomendações** Para versões do Apple iOS anteriores à 18.1, atualize para o iOS 18.1 ou posterior. Para versões do Apple iOS anteriores à 17.7.1, atualize para o iOS 17.7.1 ou posterior. Para versões do Apple iPadOS anteriores à 18.1, atualize para o iPadOS 18.1 ou posterior. Para versões do Apple iPadOS anteriores à 17.7.1, atualize para o iPadOS 17.7.1 ou posterior. Para versões do Apple tvOS anteriores à 18.1, atualize para o tvOS 18.1 ou posterior. Para versões do Apple watchOS anteriores à 11.1, atualize para o watchOS 11.1 ou posterior. Para versões do Apple visionOS anteriores à 2.1, atualize para o visionOS 2.1 ou posterior. Para versões do Apple macOS Sequoia anteriores à 15.1, atualize para o macOS Sequoia 15.1 ou posterior. Para versões do Apple Safari anteriores à 18.1, atualize para o Safari 18.1 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Safari anteriores à 18 Versões do iOS anteriores à 17.7.1 Versões do iPadOS anteriores à 17.7.1 Versões do macOS anteriores ao Sequoia 15 Versões do watchOS anteriores à 11 **Descrição** Um problema no tratamento de esquemas de URL personalizados foi corrigido com uma validação de entrada aprimorada. Conteúdo da web criado de forma maliciosa pode violar a política de sandboxing do iframe. **Recomendações** Para versões do Safari anteriores à 18, atualize para o Safari 18 ou posterior. Para versões do iOS anteriores à 17.7.1, atualize para o iOS 17.7.1 ou posterior. Para versões do iPadOS anteriores à 17.7.1, atualize para o iPadOS 17.7.1 ou posterior. Para versões do macOS anteriores ao Sequoia 15, atualize para o macOS Sequoia 15 ou posterior. Para versões do watchOS anteriores à 11, atualize para o watchOS 11 ou posterior.

**Nome do software vulnerável e versões afetadas** Safari versão 18 visionOS versão 2 watchOS versão 11 macOS Sequoia versão 15 iOS versão 18 iPadOS versão 18 tvOS versão 18 **Descrição** Existia uma vulnerabilidade de origem cruzada com elementos `iframe`, permitindo que um site malicioso extraísse dados entre origens. Essa vulnerabilidade foi corrigida com o aprimoramento do rastreamento de origens de segurança. **Recomendações** Para o Safari versão 18, nenhuma ação adicional é necessária, pois a vulnerabilidade foi corrigida. Para o visionOS versão 2, nenhuma ação adicional é necessária, pois a falha foi corrigida. Para o watchOS versão 11, nenhuma ação adicional é necessária, pois a falha foi corrigida. Para o macOS Sequoia versão 15, nenhuma ação adicional é necessária, pois a falha foi corrigida. Para o iOS versão 18, nenhuma ação adicional é necessária, pois a falha foi corrigida. Para o iPadOS versão 18, nenhuma ação adicional é necessária, pois a falha foi corrigida. Para a versão 18 do tvOS, não é necessária nenhuma ação adicional, pois o problema foi corrigido. Como solução alternativa temporária para versões mais antigas, considere desativar o uso de elementos `iframe` até que uma correção esteja disponível.

**Nome do Software Vulnerável e Versões Afetadas** Versões do watchOS anteriores à 11 Versões do macOS Sequoia anteriores à 15 Versões do Safari anteriores à 18 Versões do visionOS anteriores à 2 Versões do iOS anteriores à 18 Versões do iPadOS anteriores à 18 Versões do tvOS anteriores à 18 **Descrição** Um problema de gerenciamento de cookies foi corrigido com um gerenciamento de estado aprimorado. Um site malicioso pode exfiltrar dados entre origens. **Recomendações** Para versões do watchOS anteriores à 11, atualize para o watchOS 11 para resolver o problema. Para versões do macOS Sequoia anteriores à 15, atualize para o macOS Sequoia 15 para resolver o problema. Para versões do Safari anteriores à 18, atualize para o Safari 18 para resolver o problema. Para versões do visionOS anteriores à 2, atualize para o visionOS 2 para resolver o problema. Para versões do iOS anteriores à 18, atualize para o iOS 18 para resolver o problema. Para versões do iPadOS anteriores à 18, atualize para o iPadOS 18 para resolver o problema. Para versões do tvOS anteriores à 18, atualize para o tvOS 18 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do macOS Sonoma anteriores à 14.6 Versões do Safari anteriores à 17.6 Versões do macOS Monterey anteriores à 12.7.6 Versões do macOS Ventura anteriores à 13.6.8 **Descrição** O problema foi resolvido com um tratamento aprimorado da interface do usuário. Acessar um site que exibe conteúdo malicioso em frames pode levar à falsificação da interface do usuário. **Recomendações** Para versões do macOS Sonoma anteriores à 14.6, atualize para o macOS Sonoma 14.6. Para versões do Safari anteriores à 17.6, atualize para o Safari 17.6. Para versões do macOS Monterey anteriores à 12.7.6, atualize para o macOS Monterey 12.7.6. Para versões do macOS Ventura anteriores à 13.6.8, atualize para o macOS Ventura 13.6.8.

**Nome do software vulnerável e versões afetadas** Microsoft Edge (baseado no Chromium) (versões afetadas não especificadas) **Descrição** O problema está relacionado a erros na representação de informações pela interface do usuário. A exploração dessa vulnerabilidade pode permitir que um invasor remoto realize ataques de spoofing. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Microsoft Edge para iOS (versões afetadas não especificadas) **Descrição** O problema está relacionado a erros na exibição de informações pela interface do usuário. Isso pode permitir que um invasor remoto realize ataques de falsificação de identidade. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do visionOS anteriores à 1.2 Versões do macOS Sonoma anteriores à 14.5 Versões do Safari anteriores à 17.5 **Descrição** A falha permite que a caixa de diálogo de permissão de um site permaneça aberta após o usuário sair do site. Isso foi corrigido com verificações aprimoradas. **Recomendações** Para versões do visionOS anteriores à 1.2, atualize para o visionOS 1.2 para resolver o problema. Para versões do macOS Sonoma anteriores à 14.5, atualize para o macOS Sonoma 14.5 para resolver o problema. Para versões do Safari anteriores à 17.5, atualize para o Safari 17.5 para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Samsung Internet anteriores à 25.0.0.41 **Descrição** O problema está relacionado a um gerenciamento inadequado de privilégios, permitindo que invasores locais contornem a proteção de cookies. Isso lhes permite acessar informações confidenciais sem a devida autorização. **Recomendações** Para versões anteriores à 25.0.0.41, atualize para a versão 25.0.0.41 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a cookies confidenciais até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Microsoft Edge para Android (baseado no Chromium) (versões afetadas não especificadas) **Descrição** O problema está relacionado a erros no tratamento de arquivos, especificamente cookies, o que pode permitir que um invasor remoto obtenha acesso não autorizado a informações protegidas. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Microsoft Edge (versões afetadas não especificadas) **Descrição** O problema está relacionado à falta de proteção de dados confidenciais no Microsoft Edge, permitindo que um invasor remoto divulgue informações protegidas. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Firefox anteriores à 123 **Descrição** O problema está relacionado a erros no processamento de cookies SameSite ao abrir um site usando o manipulador de protocolo “firefox://”. Isso poderia permitir que um invasor remoto comprometesse a integridade de informações protegidas. **Recomendações** Para versões anteriores à 123, atualize para uma versão que contenha uma correção para este problema. Como solução temporária, considere restringir o uso do manipulador de protocolo `firefox://` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Microsoft Edge para Android (versões afetadas não especificadas) **Descrição** O problema está relacionado a um controle de acesso insuficiente no Microsoft Edge para Android, o que poderia permitir que um invasor remoto divulgasse informações protegidas. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 121.0.6167.85 Microsoft Edge (versões afetadas não especificadas) **Descrição** O problema está relacionado à aplicação insuficiente de políticas na interface de segurança dos navegadores Google Chrome e Microsoft Edge, o que pode ser explorado por um invasor remoto para vazar informações protegidas. Isso pode ser feito por meio de uma página HTML maliciosa, permitindo que o invasor divulgue dados de origem cruzada. **Recomendações** Para versões do Google Chrome anteriores à 121.0.6167.85, atualize para a versão 121.0.6167.85 ou posterior para resolver o problema. Para o Microsoft Edge, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Safari versions prior to 17 iOS versions prior to 17 iPadOS versions prior to 17 watchOS versions prior to 10 macOS Sonoma versions prior to 14 **Description** A window management issue was addressed with improved state management. Visiting a website that frames malicious content may lead to UI spoofing. **Recommendations** For Safari versions prior to 17, update to Safari 17 to resolve the issue. For iOS versions prior to 17, update to iOS 17 to resolve the issue. For iPadOS versions prior to 17, update to iPadOS 17 to resolve the issue. For watchOS versions prior to 10, update to watchOS 10 to resolve the issue. For macOS Sonoma versions prior to 14, update to macOS Sonoma 14 to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** iOS versions prior to 15.7.8 iPadOS versions prior to 15.7.8 iOS versions prior to 16.6 iPadOS versions prior to 16.6 tvOS versions prior to 16.6 macOS Ventura versions prior to 13.5 Safari versions prior to 16.6 watchOS versions prior to 9.6 **Description** The issue is related to errors in security settings, allowing a website to bypass Same Origin Policy. This could enable a remote attacker to circumvent existing security restrictions. **Recommendations** For iOS versions prior to 15.7.8, update to iOS 15.7.8 or later. For iPadOS versions prior to 15.7.8, update to iPadOS 15.7.8 or later. For iOS versions prior to 16.6, update to iOS 16.6 or later. For iPadOS versions prior to 16.6, update to iPadOS 16.6 or later. For tvOS versions prior to 16.6, update to tvOS 16.6 or later. For macOS Ventura versions prior to 13.5, update to macOS Ventura 13.5 or later. For Safari versions prior to 16.6, update to Safari 16.6 or later. For watchOS versions prior to 9.6, update to watchOS 9.6 or later.

**Name of the Vulnerable Software and Affected Versions** WebKitGTK versions prior to the fixed version WPE WebKit versions prior to the fixed version iOS versions prior to 16.6 iPadOS versions prior to 16.6 watchOS versions prior to 9.6 tvOS versions prior to 16.6 macOS Ventura versions prior to 13.5 **Description** A logic issue was addressed with improved restrictions. Processing web content may lead to arbitrary code execution. This issue is caused by a buffer overflow in the web page display modules of WebKitGTK and WPE WebKit. **Recommendations** For WebKitGTK, update to a version that includes the fix for this issue. For WPE WebKit, update to a version that includes the fix for this issue. For iOS, update to version 16.6 or later. For iPadOS, update to version 16.6 or later. For watchOS, update to version 9.6 or later. For tvOS, update to version 16.6 or later. For macOS Ventura, update to version 13.5 or later.