Shaheen Fazim

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 146.0.7680.165 **Description** A use-after-free issue in the FedCM feature of Google Chrome could allow a remote attacker to execute arbitrary code within a sandbox through a specially crafted HTML page. **Recommendations** Update Google Chrome to version 146.0.7680.165 or later.

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 146.0.7680.153 **Description** A use-after-free issue exists in the Extensions component of Google Chrome. This flaw could allow an attacker to convince a user to install a malicious extension, potentially leading to heap corruption through a crafted Chrome Extension. **Recommendations** Update Google Chrome to version 146.0.7680.153 or later.

**Nome do Software Vulnerável e Versões Afetadas** Google Chrome versões anteriores a 145.0.7632.75 Google Chromium versões anteriores a 145.0.7632.75 spatialOS versões 3.8.5 (14H40), 4.8.5 (2H40) e 5.3.1 (3H40) tabOS versões 2.8.5 (2T40) e 3.3.1 (3T40) mediaOS versões 2.8.2 (2K40) e 3.3.1 (3K40) rubyOS Amaryllis versões 1.8.5 (1T40) timeOS versões 2.8.2 (5J40) e 3.3.1 (6J40) phoneUI versão 1.10.8 (13G40) **Descrição** Esta é uma vulnerabilidade de alta severidade do tipo use-after-free no componente CSS do Google Chrome e navegadores baseados em Chromium. A vulnerabilidade (CVE-2026-2441) permite que um atacante remoto execute código arbitrário dentro de uma sandbox por meio de uma página HTML manipulada. A exploração não requer interação do usuário além de visitar uma página web maliciosa. A vulnerabilidade está sendo ativamente explorada na natureza. Um exploit de prova de conceito público está disponível. O problema origina-se de uma invalidação de iterador no componente CSSFontFeatureValuesMap. **Recomendações** Google Chrome versões anteriores a 145.0.7632.75: Atualize para a versão 145.0.7632.75 ou posterior. Google Chromium versões anteriores a 145.0.7632.75: Atualize para a versão 145.0.7632.75 ou posterior. spatialOS versões 3.8.5 (14H40), 4.8.5 (2H40) e 5.3.1 (3H40): Atualize para a versão mais recente disponível. tabOS versões 2.8.5 (2T40) e 3.3.1 (3T40): Atualize para a versão mais recente disponível. mediaOS versões 2.8.2 (2K40) e 3.3.1 (3K40): Atualize para a versão mais recente disponível. rubyOS Amaryllis versões 1.8.5 (1T40): Atualize para a versão mais recente disponível. timeOS versões 2.8.2 (5J40) e 3.3.1 (6J40): Atualize para a versão mais recente disponível. phoneUI versão 1.10.8 (13G40): Atualize para a versão mais recente disponível.

Nome do Software Vulnerável e Versões Afetadas Google Chrome versões anteriores a 145.0.7632.45 Descrição Existe uma vulnerabilidade na funcionalidade PictureInPicture do Google Chrome. Este problema poderia permitir que um atacante remoto realizasse suplantação de interface do usuário ao convencer um usuário a interagir com uma página HTML especialmente criada por meio de gestos específicos da interface. A gravidade de segurança é classificada como Média. Recomendações Atualize o Google Chrome para a versão 145.0.7632.45 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Google Chrome anteriores à 143.0.7499.147 **Descrição** Existe uma falha no componente V8 do Google Chrome que pode permitir que um atacante remoto explore corrupção de heap. Isso se deve a uma condição de leitura e escrita fora dos limites desencadeada por uma página HTML especialmente criada. A severidade de segurança é classificada como Alta. **Recomendações** Atualize o Google Chrome para a versão 143.0.7499.147 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Firefox anteriores a 141 Versões do Firefox ESR anteriores a 115.26 Versões do Firefox ESR anteriores a 128.13 Versões do Firefox ESR anteriores a 140.1 Versões do Thunderbird anteriores a 141 Versões do Thunderbird anteriores a 128.13 Versões do Thunderbird anteriores a 140.1 **Descrição** O mecanismo JavaScript não manipulou corretamente geradores fechados, potencialmente levando a uma desreferência de `nullptr` ao retomá-los. **Recomendações** Atualize o Firefox para a versão 141 ou posterior. Atualize o Firefox ESR para a versão 115.26 ou posterior. Atualize o Firefox ESR para a versão 128.13 ou posterior. Atualize o Firefox ESR para a versão 140.1 ou posterior. Atualize o Thunderbird para a versão 141 ou posterior. Atualize o Thunderbird para a versão 128.13 ou posterior. Atualize o Thunderbird para a versão 140.1 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Google Chrome versões anteriores a 138.0.7204.168 Microsoft Edge versões anteriores a 138.0.7204.168 Chromium versões anteriores a 138.0.7204.168 Chromium no Debian versões anteriores a 138.0.7204.168-1~deb12u1 **Descrição** Existe um problema de confusão de tipos no componente do mecanismo JavaScript V8 usado nos navegadores Google Chrome, Microsoft Edge e Chromium. Este problema poderia permitir que um atacante remoto explorasse potencialmente a corrupção de heap criando uma página HTML maliciosa. A exploração deste problema pode levar à negação de serviço ou, potencialmente, à execução arbitrária de código. A vulnerabilidade está relacionada a erros na conversão de tipo de dados dentro do mecanismo V8. **Recomendações** Google Chrome versões anteriores a 138.0.7204.168: Atualize para a versão 138.0.7204.168 ou posterior. Microsoft Edge versões anteriores a 138.0.7204.168: Atualize para a versão 138.0.7204.168 ou posterior. Chromium versões anteriores a 138.0.7204.168: Atualize para a versão 138.0.7204.168 ou posterior. Chromium no Debian versões anteriores a 138.0.7204.168-1~deb12u1: Atualize para a versão 138.0.7204.168-1~deb12u1 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Versões do Google Chrome anteriores à 138.0.7204.49 Descrição: O problema está relacionado à aplicação insuficiente de políticas no componente Loader, permitindo que um atacante remoto contorne a política de segurança de conteúdo por meio de uma página HTML manipulada. Isso poderia potencialmente afetar um número significativo de dispositivos em todo o mundo, dada a popularidade do Google Chrome. Recomendações: Para versões anteriores à 138.0.7204.49, atualize para a versão 138.0.7204.49 ou posterior para resolver o problema.

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 138.0.7204.157 **Description** An integer overflow in V8, the JavaScript engine used in Google Chrome, could allow a remote attacker to exploit heap corruption via a crafted HTML page. The Chromium security severity is rated as High. **Recommendations** Update Google Chrome to version 138.0.7204.157 or later.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Firefox anteriores à 139.0.4 **Descrição** Um estouro de inteiro ocorreu na `OrderedHashTable` utilizada pelo mecanismo JavaScript. **Recomendações** Para versões anteriores à 139.0.4, atualize para a versão 139.0.4 ou posterior para resolver o problema.

**Name of the Vulnerable Software and Affected Versions** Firefox versions prior to 136 **Description** A select option could partially obscure the confirmation prompt shown before launching external apps, potentially tricking a user into launching an external app unexpectedly. This issue only affects Android versions of Firefox. **Recommendations** For versions prior to 136, update to version 136 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Debian Linux (affected versions not specified) **Description** The issue is related to an integer overflow. It was reported by Shaheen Fazim. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** Versões do Firefox anteriores à 133 Versões do Thunderbird anteriores à 133 **Descrição** O problema está relacionado à restrição incorreta das camadas da interface de usuário visualizadas no Mozilla Firefox e no Thunderbird em sistemas operacionais Android. Isso poderia permitir que um invasor remoto realizasse um ataque de tapjacking, levando potencialmente os usuários a aprovarem, sem saber, a execução de aplicativos externos e expondo-os a vulnerabilidades subjacentes. Sites maliciosos podem ter explorado isso para realizar a confirmação da intenção do usuário por meio de tapjacking. **Recomendações** Para versões do Firefox anteriores à 133, atualize para a versão 133 ou posterior para resolver o problema. Para versões do Thunderbird anteriores à 133, atualize para a versão 133 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a aplicativos externos até que um patch esteja disponível. Evite usar versões afetadas do Firefox e do Thunderbird em redes não confiáveis para minimizar o risco de exploração.

Nome do software vulnerável e versões afetadas: Versões do Firefox anteriores à 133 Versões do Firefox ESR anteriores à 128.5 Versões do Thunderbird anteriores à 133 Versões do Thunderbird anteriores à 128.5 Descrição: O problema está relacionado à restrição incorreta das camadas da interface de usuário visualizadas, o que poderia permitir que um invasor remoto realizasse ataques de spoofing. Isso poderia causar confusão ao usuário e possíveis ataques de spoofing, fazendo com que um menu suspenso de seleção fosse exibido sobre outra guia. Recomendações: Para versões do Firefox anteriores à 133, atualize para a versão 133 ou posterior para resolver o problema. Para versões do Firefox ESR anteriores à 128.5, atualize para a versão 128.5 ou posterior para resolver o problema. Para versões do Thunderbird anteriores à 133, atualize para a versão 133 ou posterior para resolver o problema. Para versões do Thunderbird anteriores à 128.5, atualize para a versão 128.5 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Firefox anteriores à 132 Versões do Firefox ESR anteriores à 128.4 Versões do Thunderbird anteriores à 128.4 Versões do Thunderbird anteriores à 132 **Descrição** O problema está relacionado à falta de confirmação da origem da fonte no prompt do manipulador de protocolo, que poderia ser ocultada usando uma URL data: dentro de um `iframe`. Isso poderia permitir que um invasor remoto obtivesse acesso não autorizado a informações protegidas. **Recomendações** Para versões do Firefox anteriores à 132, atualize para a versão 132 ou posterior. Para versões do Firefox ESR anteriores à 128.4, atualize para a versão 128.4 ou posterior. Para versões do Thunderbird anteriores à 128.4, atualize para a versão 128.4 ou posterior. Para versões do Thunderbird anteriores à 132, atualize para a versão 132 ou posterior.

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 139.0.7258.66 **Description** An inappropriate implementation in permissions within Google Chrome allows a remote attacker to perform UI spoofing through a specially crafted HTML page. The security severity is rated as low. **Recommendations** Update Google Chrome to version 139.0.7258.66 or later.

**Nome do software vulnerável e versões afetadas** Versões do Firefox anteriores à 131 Versões do Firefox ESR anteriores à 128.3 Versões do Thunderbird anteriores à 128.3 Versões do Thunderbird anteriores à 131 **Descrição** O problema está relacionado à ausência de um atraso na interface de usuário de upload de diretórios, o que poderia permitir que um invasor induzisse um usuário a conceder permissão por meio de clickjacking. Isso poderia permitir que um invasor remoto realizasse um ataque de clickjacking. **Recomendações** Para versões do Firefox anteriores à 131, atualize para a versão 131 ou posterior para resolver o problema. Para versões do Firefox ESR anteriores à 128.3, atualize para a versão 128.3 ou posterior para resolver o problema. Para versões do Thunderbird anteriores à 128.3, atualize para a versão 128.3 ou posterior para resolver o problema. Para versões do Thunderbird anteriores à 131, atualize para a versão 131 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à interface de usuário de upload de diretórios para minimizar o risco de exploração.

Name of the Vulnerable Software and Affected Versions Google Chrome versões anteriores a 147.0.7727.55 Description Uma falha existe no Blink, um componente do Google Chrome, que pode permitir que um atacante remoto realize spoofing da interface do usuário por meio de uma página HTML especialmente criada. Esta questão está relacionada a uma interface de segurança incorreta. Recommendations Atualize o Google Chrome para a versão 147.0.7727.55 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 130.0.6723.58 Microsoft Edge (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma implementação inadequada no recurso de Permissões do Google Chrome e do Microsoft Edge, permitindo que um invasor remoto realize spoofing da interface do usuário por meio de uma página HTML maliciosa. Isso pode ser feito convencendo um usuário a realizar ações específicas na interface do usuário. O número estimado de dispositivos potencialmente afetados não foi especificado. **Recomendações** Para versões do Google Chrome anteriores à 130.0.6723.58, atualize para a versão 130.0.6723.58 ou posterior para resolver o problema. Para o Microsoft Edge, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Firefox anteriores à 130 **Descrição** O problema está relacionado à notificação que anuncia a transição para o modo de tela cheia no Firefox para Android. Várias mensagens e painéis, tanto do Firefox quanto do sistema operacional Android, poderiam ser usados para ocultar essa notificação, levando potencialmente à falsificação da interface do navegador se o usuário se distraísse com o aparecimento repentino de uma mensagem. As notificações agora utilizam o recurso Toast do Android. Este problema afeta apenas o Firefox para Android, não afetando outros sistemas operacionais. **Recomendações** Para versões anteriores à 130, atualize para a versão 130 ou posterior do Firefox para resolver o problema. Como solução temporária, tenha cuidado quando várias mensagens forem exibidas, certificando-se de perceber qualquer transição visual para o modo de tela cheia. Restringir o uso do modo de tela cheia até a atualização também pode minimizar o risco de exploração.