Sourc7

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 116.0.5845.179 **Description** The issue is related to incorrect security UI in the BFCache component of Google Chrome, allowing a remote attacker to spoof the contents of the Omnibox (URL bar) via a crafted HTML page. This can be exploited by a remote attacker to conduct spoofing attacks. **Recommendations** For Google Chrome versions prior to 116.0.5845.179, update to version 116.0.5845.179 or later to resolve the issue. As a temporary workaround, consider restricting access to potentially vulnerable web pages until the update is applied.

**Name of the Vulnerable Software and Affected Versions** Firefox versions prior to 117 Firefox ESR versions prior to 115.2 Thunderbird versions prior to 115.2 **Description** The issue is related to the JavaScript engine SpiderMonkey in Mozilla Firefox, Firefox ESR, and Thunderbird. It involves a potential memory allocation issue when calling `JS::CheckRegExpSyntax`, which could lead to a Syntax Error. If no memory is available, a newly created Out of Memory exception could be mishandled as a Syntax Error, potentially allowing a remote attacker to cause a denial of service. **Recommendations** For Firefox versions prior to 117, update to version 117 or later. For Firefox ESR versions prior to 115.2, update to version 115.2 or later. For Thunderbird versions prior to 115.2, update to version 115.2 or later.

**Name of the Vulnerable Software and Affected Versions** Mozilla Firefox versions prior to 110 Mozilla Firefox ESR versions prior to 102.8 Mozilla Thunderbird versions prior to 102.8 **Description** The issue is related to errors in the user interface's information representation. It can be exploited by a remote attacker to force the browser into full-screen mode, potentially causing user confusion or spoofing attacks. A background script invoking `requestFullscreen` and then blocking the main thread could force the browser into fullscreen mode indefinitely. **Recommendations** For Mozilla Firefox versions prior to 110, update to version 110 or later to resolve the issue. For Mozilla Firefox ESR versions prior to 102.8, update to version 102.8 or later to resolve the issue. For Mozilla Thunderbird versions prior to 102.8, update to version 102.8 or later to resolve the issue. As a temporary workaround, consider disabling the `requestFullscreen` function until a patch is available.

**Name of the Vulnerable Software and Affected Versions** Google Chrome on Android versions prior to 113.0.5672.63 **Description** The issue is related to an inappropriate implementation in Full Screen Mode, allowing a remote attacker to hide the contents of the Omnibox (URL bar) via a crafted HTML page. This could potentially be exploited by a remote attacker. **Recommendations** For Google Chrome on Android versions prior to 113.0.5672.63, update to version 113.0.5672.63 or later to resolve the issue. As a temporary workaround, consider avoiding the use of Full Screen Mode until the update is applied.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 106.0.5249.62 Microsoft Edge (versões afetadas não especificadas) **Descrição** O problema está relacionado a erros na exibição de informações pela interface do usuário, permitindo que um invasor remoto realize ataques de falsificação de identidade (spoofing) por meio de uma página da Web especialmente criada para esse fim. Isso pode ser feito por meio de uma página HTML criada para esse fim, explorando uma falha de segurança na interface do usuário no modo de tela cheia. **Recomendações** Para versões do Google Chrome anteriores à 106.0.5249.62, atualize para a versão 106.0.5249.62 ou posterior para resolver o problema. Para o Microsoft Edge, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 104.0.5112.79 Microsoft Edge (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma implementação inadequada da API Fullscreen nos navegadores Google Chrome e Microsoft Edge. Isso poderia permitir que um invasor remoto falsificasse o conteúdo da Omnibox (barra de URL) por meio de uma página HTML maliciosa, revelando potencialmente informações protegidas. **Recomendações** Para versões do Google Chrome anteriores à 104.0.5112.79, atualize para a versão 104.0.5112.79 ou posterior para resolver o problema. Para o Microsoft Edge, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 107.0.5304.62 Microsoft Edge (versões afetadas não especificadas) **Descrição** O problema está relacionado à implementação inadequada do modo de tela cheia, permitindo que um invasor remoto oculte o conteúdo da Omnibox (barra de URL) por meio de uma página HTML maliciosa. Isso pode afetar a integridade, a disponibilidade e a confidencialidade das informações protegidas. O invasor pode explorar essa vulnerabilidade usando uma página HTML especialmente criada para esse fim. **Recomendações** Para versões do Google Chrome anteriores à 107.0.5304.62, atualize para a versão 107.0.5304.62 ou posterior para resolver o problema. Para o Microsoft Edge, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 101.0.4951.41 Firefox (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma vulnerabilidade do tipo “use after free” no módulo Codecs, o que pode levar à corrupção da pilha (heap). Um invasor remoto pode potencialmente explorar essa vulnerabilidade por meio de uma página HTML especialmente criada. A vulnerabilidade pode permitir que um invasor execute código arbitrário ou cause uma negação de serviço. **Recomendações** Para versões do Google Chrome anteriores à 101.0.4951.41, atualize para a versão 101.0.4951.41 ou posterior para resolver o problema. Para o Firefox, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 98.0.4758.80 **Descrição** O problema está relacionado a uma implementação inadequada no modo de tela cheia, permitindo que um invasor remoto falsifique o conteúdo da Omnibox (barra de URL) por meio de uma página HTML especialmente criada. Isso poderia levar à execução de código arbitrário. **Recomendações** Para versões anteriores à 98.0.4758.80, atualize para a versão 98.0.4758.80 ou posterior para resolver o problema. Como solução temporária, considere evitar o uso do Modo de Tela Cheia até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 100.0.4896.88 **Descrição** O problema está relacionado a uma implementação inadequada no modo de tela cheia, permitindo que um invasor remoto falsifique o conteúdo da Omnibox (barra de URL) por meio de uma página HTML maliciosa. Isso poderia potencialmente levar ao acesso a dados confidenciais, à violação da integridade dos dados e à negação de serviço. **Recomendações** Para versões anteriores à 100.0.4896.88, atualize para a versão 100.0.4896.88 ou posterior para resolver o problema. Como solução temporária, considere evitar o uso do modo de tela cheia no Google Chrome no Android até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 100.0.4896.60 **Descrição** O problema está relacionado a uma implementação inadequada no modo de tela cheia, permitindo que um invasor remoto falsifique o conteúdo da Omnibox (barra de URL) por meio de uma página HTML maliciosa. Isso poderia afetar a confidencialidade, a integridade e a disponibilidade das informações protegidas. **Recomendações** Para versões do Google Chrome anteriores à 100.0.4896.60, atualize para a versão 100.0.4896.60 ou posterior para resolver o problema. Como solução temporária, considere evitar o uso do Modo de Tela Cheia até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 97.0.4692.71 Microsoft Edge (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma implementação inadequada no módulo Compositing, permitindo que um invasor remoto falsifique o conteúdo da Omnibox (barra de URL) por meio de uma página HTML especialmente criada. Isso poderia potencialmente levar ao acesso não autorizado a informações protegidas. **Recomendações** Para versões do Google Chrome anteriores à 97.0.4692.71, atualize para a versão 97.0.4692.71 ou posterior para resolver o problema. Para o Microsoft Edge, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 99.0.4844.51 Microsoft Edge (versões afetadas não especificadas) **Descrição** O problema está relacionado à implementação do Modo de Tela Cheia nos navegadores, especificamente no que diz respeito à proteção insuficiente dos dados de serviço. Isso poderia permitir que um invasor comprometesse a integridade, a disponibilidade e a confidencialidade das informações protegidas. No Google Chrome para Android, um invasor remoto poderia ocultar o conteúdo da Omnibox (barra de URL) por meio de uma página HTML maliciosa. **Recomendações** Para versões do Google Chrome anteriores à 99.0.4844.51, atualize para a versão 99.0.4844.51 ou posterior. Para o Microsoft Edge, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 99.0.4844.51 **Descrição** O problema está relacionado à implementação inadequada do modo de tela cheia no Google Chrome para Android, permitindo que um invasor remoto oculte o conteúdo da Omnibox (barra de URL) por meio de uma página HTML maliciosa. Isso poderia potencialmente levar à divulgação de informações ou à negação de serviço. A vulnerabilidade também está relacionada à proteção insuficiente dos dados de serviço no modo de tela cheia nos navegadores Google Chrome e Microsoft Edge. **Recomendações** Para versões do Google Chrome anteriores à 99.0.4844.51, atualize para a versão 99.0.4844.51 ou posterior para resolver o problema. Como solução temporária, considere desativar o modo de tela cheia no Google Chrome no Android até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** Google Chrome (versões afetadas não especificadas) **Descrição** Existe uma falha no mecanismo de renderização do módulo de navegação Blink devido a erros na implementação de verificações de segurança para elementos padrão. Uma exploração bem-sucedida poderia permitir que um invasor remoto obtivesse acesso para ler e excluir dados por meio de uma página HTML maliciosa. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Firefox anteriores à 83 Versões do Firefox ESR anteriores à 78.5 Versões do Thunderbird anteriores à 78.5 **Descrição** O problema ocorre ao remover elementos HTML durante a sanitização, o que pode fazer com que manipuladores de eventos SVG existentes sejam mantidos, resultando em cross-site scripting (XSS). **Recomendações** Para versões do Firefox anteriores à 83, atualize para a versão 83 ou posterior. Para versões do Firefox ESR anteriores à 78.5, atualize para a versão 78.5 ou posterior. Para versões do Thunderbird anteriores à 78.5, atualize para a versão 78.5 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Firefox anteriores à 83 Versões do Firefox ESR anteriores à 78.5 Versões do Thunderbird anteriores à 78.5 **Descrição** Uma incompatibilidade na análise e no carregamento de eventos no código SVG do Firefox poderia ter permitido que eventos de carregamento fossem disparados, mesmo após a sanitização. Essa falha poderia ser explorada por um invasor já capaz de explorar uma vulnerabilidade XSS em páginas internas privilegiadas para contornar o sanitizador integrado. A vulnerabilidade está relacionada à falta de verificação de integridade, o que poderia permitir que um invasor remoto realizasse ataques de script entre sites (XSS). **Recomendações** Para versões do Firefox anteriores à 83, atualize para a versão 83 ou posterior para resolver o problema. Para versões do Firefox ESR anteriores à 78.5, atualize para a versão 78.5 ou posterior para resolver o problema. Para versões do Thunderbird anteriores à 78.5, atualize para a versão 78.5 ou posterior para resolver o problema.