Rong Jian

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 114.0.5735.133 **Description** The issue is related to a use after free in Autofill payments, which could allow a remote attacker to potentially exploit heap corruption via a crafted HTML page. This could lead to arbitrary code execution. **Recommendations** For versions prior to 114.0.5735.133, update to version 114.0.5735.133 or later to resolve the issue. As a temporary workaround, consider disabling the Autofill payments feature until a patch is available. Restrict access to potentially vulnerable web pages to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 113.0.5672.126 Microsoft Edge (affected versions not specified) **Description** The issue is related to a use after free vulnerability in the Autofill UI of Google Chrome and Microsoft Edge browsers. This vulnerability can be exploited by a remote attacker using a crafted HTML page, potentially leading to heap corruption. The exploitation of this vulnerability may impact the confidentiality, integrity, and availability of protected information. **Recommendations** For Google Chrome versions prior to 113.0.5672.126, update to version 113.0.5672.126 or later to resolve the issue. For Microsoft Edge, at the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 112.0.5615.137 **Description** The issue is related to an out of bounds memory access in the Service Worker API of Google Chrome, which can be exploited by a remote attacker using a specially crafted HTML page. This could potentially lead to heap corruption and allow the attacker to execute arbitrary code. **Recommendations** For versions prior to 112.0.5615.137, update to version 112.0.5615.137 or later to resolve the issue. As a temporary workaround, consider restricting access to the Service Worker API until a patch is applied. Avoid using the Service Worker API in sensitive operations until the issue is resolved.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 104.0.5112.101 Microsoft Edge (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma implementação inadequada da API de extensões, o que permitia que um invasor injetasse scripts arbitrários na WebUI por meio de uma página HTML maliciosa, caso um usuário fosse convencido a instalar uma extensão maliciosa. Isso poderia potencialmente expor informações protegidas. **Recomendações** Para versões do Google Chrome anteriores à 104.0.5112.101, atualize para a versão 104.0.5112.101 ou posterior para resolver o problema. Para o Microsoft Edge, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 97.0.4692.99 Microsoft Edge (versões afetadas não especificadas) **Descrição** O problema está relacionado a um uso após liberação (use after free) no componente Bookmarks, o que pode levar à corrupção da pilha (heap). Um invasor remoto que convença um usuário a realizar interações específicas pode potencialmente explorar essa vulnerabilidade por meio de uma página HTML maliciosa. Isso pode permitir que o invasor execute código arbitrário. **Recomendações** Para versões do Google Chrome anteriores à 97.0.4692.99, atualize para a versão 97.0.4692.99 ou posterior para resolver o problema. Para o Microsoft Edge, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 90.0.4430.212 **Descrição** O problema está relacionado a uma vulnerabilidade do tipo “use after free” na API de arquivos, o que poderia permitir que um invasor remoto explorasse uma corrupção de heap por meio de uma página HTML maliciosa. Isso pode levar ao acesso não autorizado a dados confidenciais, à violação da integridade dos dados e, potencialmente, causar uma negação de serviço. **Recomendações** Para versões anteriores à 90.0.4430.212, atualize para a versão 90.0.4430.212 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a páginas HTML criadas especificamente para explorar o uso após liberação na API de Arquivos até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 87.0.4280.141 **Descrição** O problema está relacionado ao uso de memória previamente liberada no módulo de pagamentos, permitindo que um invasor remoto que tenha comprometido o processo do renderizador possa, potencialmente, escapar da sandbox por meio de uma página HTML maliciosa. Isso pode afetar a confidencialidade, a integridade e a disponibilidade das informações protegidas. **Recomendações** Para versões do Google Chrome anteriores à 87.0.4280.141, atualize para a versão 87.0.4280.141 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a informações confidenciais e evitar o uso de funções de pagamento potencialmente vulneráveis até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 87.0.4280.66 **Descrição** O problema está relacionado à validação insuficiente de dados na implementação do WebAssembly (WASM) no Google Chrome, o que poderia permitir que um invasor remoto explorasse uma corrupção de heap. Isso pode ser feito por meio de uma página HTML especialmente criada. A vulnerabilidade pode permitir que o invasor execute código arbitrário. **Recomendações** Para versões anteriores à 87.0.4280.66, atualize para a versão 87.0.4280.66 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 87.0.4280.66 **Descrição** O problema está relacionado a uma vulnerabilidade do tipo “use after free” no PPAPI, o que poderia permitir que um invasor remoto que tivesse comprometido o processo do renderizador potencialmente escapasse da sandbox. Isso pode ser feito por meio de uma página HTML especialmente criada. O invasor pode ser capaz de executar código arbitrário. **Recomendações** Para versões anteriores à 87.0.4280.66, atualize para a versão 87.0.4280.66 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a componentes PPAPI potencialmente vulneráveis até que a atualização seja aplicada.

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 79.0.3945.79 **Description** The issue is related to an out of bounds write in JavaScript, which could potentially allow a remote attacker to exploit heap corruption. This can be achieved via a crafted HTML page, potentially leading to unauthorized access to protected information and disruption of its integrity and availability. **Recommendations** For versions prior to 79.0.3945.79, update to version 79.0.3945.79 or later to resolve the issue.