Smoke-Wolf

**Nome do Software Vulnerável e Versões Afetadas** Zen Browser versões anteriores a 1.19.9b **Descrição** O Zen Browser inclui um atualizador Mozilla Application Resource (MAR) (`org.mozilla.updater`) que carece de verificação de assinatura criptográfica. Como o binário do atualizador não contém código de verificação e os arquivos MAR não possuem assinaturas, o mecanismo de defesa em profundidade fornecido pela assinatura MAR está ausente. Se o servidor de atualização ou o pipeline de lançamento do GitHub for comprometido, um invasor poderá entregar código não assinado arbitrário aos usuários por meio do mecanismo de atualização automática. **Recomendações** Atualizar para a versão 1.19.9b.

**Nome do Software Vulnerável e Versões Afetadas** Tookie versões anteriores a 4.1fix **Descrição** Existe um problema no arquivo `modules/modules.py` onde as funções auxiliares `write txt()`, `write csv()`, `write json()` e `scan file()` abrem arquivos de saída usando o método `open(f"{user}.<ext>")`. A variável `user`, originada da flag de CLI `-u` ou de um arquivo de nomes de usuário `-U`, não é sanitizada. Um nome de usuário que contenha sequências de separadores de caminho, como `..`, `/`, `` ou um caminho absoluto, permite que a ferramenta escreva a saída da varredura em qualquer caminho arbitrário onde o usuário invocador tenha permissões de escrita. **Recomendações** Atualize para a versão 4.1fix.