Thomas Orlita

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 131.0.6778.69 **Descrição** O problema está relacionado a uma implementação inadequada no Blink, permitindo que um invasor remoto realize falsificação da interface do usuário (UI spoofing) por meio de uma página HTML maliciosa, caso o usuário seja induzido a realizar gestos específicos na interface. Isso pode levar o invasor a induzir o usuário a realizar ações indesejadas. **Recomendações** Para versões do Google Chrome anteriores à 131.0.6778.69, atualize para a versão 131.0.6778.69 ou posterior para resolver o problema. Como solução temporária, tenha cuidado ao interagir com páginas HTML de fontes não confiáveis para minimizar o risco de exploração.

Nome do software vulnerável e versões afetadas: Firefox para Android em versões anteriores à 130.0.1 Descrição: Em determinadas condições, um invasor com a capacidade de redirecionar usuários para um site malicioso por meio de um redirecionamento aberto em um site confiável pode ser capaz de falsificar o conteúdo da barra de endereços. Isso pode fazer com que um site malicioso pareça ter o mesmo URL do site confiável. Recomendações: Para versões do Firefox para Android anteriores à 130.0.1, atualize para a versão 130.0.1 ou posterior para resolver o problema. Como solução temporária, considere evitar o uso de redirecionamentos abertos em sites confiáveis para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 128.0.6613.84 Microsoft Edge (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma implementação inadequada no Views, permitindo que um invasor remoto realize falsificação da interface do usuário (UI spoofing) por meio de uma página HTML maliciosa. Isso poderia potencialmente levar a uma violação de segurança por meio da manipulação da interface do usuário. **Recomendações** Para versões do Google Chrome anteriores à 128.0.6613.84, atualize para a versão 128.0.6613.84 ou posterior para resolver o problema. Para o Microsoft Edge, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 128.0.6613.84 Microsoft Edge (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma implementação inadequada no módulo de permissões, permitindo que um invasor remoto realize falsificação da interface do usuário (UI spoofing) por meio de uma página HTML maliciosa. Isso poderia permitir que um invasor induzisse os usuários a realizar ações indesejadas. A gravidade deste problema é classificada como Média pela equipe de segurança do Chromium. **Recomendações** Para versões do Google Chrome anteriores à 128.0.6613.84, atualize para a versão 128.0.6613.84 ou posterior para resolver o problema. Para o Microsoft Edge, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 118.0.5993.70 **Description** The issue is related to an inappropriate implementation in the Navigation component of Google Chrome, which can lead to errors in the representation of information in the user interface. This can allow a remote attacker to conduct spoofing attacks using a specially crafted HTML page. The attacker can exploit this issue to spoof security UI. **Recommendations** For versions prior to 118.0.5993.70, update to version 118.0.5993.70 or later to resolve the issue. As a temporary workaround, consider restricting the use of crafted HTML pages to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 115.0.5790.98 **Description** The issue is related to an inappropriate implementation in the Picture In Picture technology of Google Chrome, which may allow a remote attacker to conduct phishing attacks by potentially spoofing the contents of the Omnibox (URL bar) via a crafted HTML page. **Recommendations** For versions prior to 115.0.5790.98, update to version 115.0.5790.98 or later to resolve the issue. As a temporary workaround, consider disabling the Picture In Picture feature until a patch is available.

**Name of the Vulnerable Software and Affected Versions** Google Chrome on Android versions prior to 113.0.5672.63 **Description** The issue is related to an inappropriate implementation in the Prompts component of Google Chrome on Android, which can allow a remote attacker to bypass security restrictions. This can be achieved via a specially crafted HTML page. The estimated severity of this issue is low. **Recommendations** For Google Chrome on Android versions prior to 113.0.5672.63, update to version 113.0.5672.63 or later to resolve the issue. As a temporary workaround, consider restricting access to potentially vulnerable HTML pages until the update is applied.

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 113.0.5672.63 **Description** The issue is related to an inappropriate implementation in the PictureInPicture feature of Google Chrome, allowing an attacker to perform an origin spoof in the security UI via a crafted HTML page if a user installs a malicious extension. This could be exploited by a remote attacker using a specially crafted webpage. **Recommendations** For Google Chrome versions prior to 113.0.5672.63, update to version 113.0.5672.63 or later to resolve the issue. As a temporary workaround, consider avoiding the installation of extensions from untrusted sources and being cautious when interacting with HTML pages from unknown origins. Restrict access to the PictureInPicture feature until the update is applied.

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 111.0.5563.64 **Description** The issue is related to insufficient policy enforcement in the Web Payments API, allowing a remote attacker to bypass navigation restrictions via a crafted HTML page. This can be exploited by a remote attacker using a specially crafted HTML page. **Recommendations** For versions prior to 111.0.5563.64, update to version 111.0.5563.64 or later to resolve the issue. As a temporary workaround, consider restricting access to the Web Payments API until a patch is applied.

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 111.0.5563.64 **Description** The issue is related to an inappropriate implementation in permission prompts, allowing a remote attacker to bypass navigation restrictions via a crafted HTML page. This could potentially lead to security breaches by exploiting the vulnerability in the permission prompts system, which incorrectly utilizes standard permissions. The estimated number of potentially affected devices and details about real-world incidents are not provided. **Recommendations** For versions prior to 111.0.5563.64, update to version 111.0.5563.64 or later to resolve the issue. As a temporary workaround, consider restricting the use of permission prompts until a patch is applied.

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 103.0.5060.134 **Description** The issue is related to an inappropriate implementation in URL formatting, which can be exploited by a remote attacker to perform domain spoofing via a crafted HTML page. This can be achieved by manipulating the URL formatting mechanism, allowing the attacker to deceive users about the actual domain they are interacting with. **Recommendations** For Google Chrome versions prior to 103.0.5060.134, update to version 103.0.5060.134 or later to resolve the issue. As a temporary workaround, consider restricting access to potentially vulnerable web pages or avoiding the use of HTML pages from untrusted sources until the update is applied.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 100.0.4896.60 Microsoft Edge (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma implementação inadequada no componente Extensões dos navegadores Google Chrome e Microsoft Edge, o que pode permitir que um invasor vaze informações potencialmente confidenciais por meio de uma página HTML especialmente criada. Isso pode ocorrer se um usuário for convencido a instalar uma extensão maliciosa. A vulnerabilidade está relacionada a verificações de segurança implementadas incorretamente para elementos padrão, permitindo potencialmente que um invasor remoto obtenha acesso não autorizado a informações protegidas ou cause uma negação de serviço usando uma página da web especialmente criada. **Recomendações** Para versões do Google Chrome anteriores à 100.0.4896.60, atualize para a versão 100.0.4896.60 ou posterior para resolver o problema. Para o Microsoft Edge, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 97.0.4692.71 **Descrição** O problema está relacionado a uma implementação incorreta da interface de segurança na interface do usuário do navegador, permitindo que um invasor remoto realize ataques de falsificação de identidade (spoofing) exibindo um URL ausente ou incorreto por meio de um URL especialmente criado. Isso pode ser feito por meio de uma página da web manipulada. **Recomendações** Para versões do Google Chrome anteriores à 97.0.4692.71, atualize para a versão 97.0.4692.71 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a sites não confiáveis para minimizar o risco de exploração. Evite usar URLs criadas para esse fim no navegador afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 100.0.4896.88 **Descrição** O problema está relacionado a uma vulnerabilidade do tipo “use after free” na implementação da extensão de grupos de abas no Google Chrome. Isso poderia permitir que um invasor remoto explorasse uma corrupção de heap por meio de uma página HTML especialmente criada, levando ao acesso não autorizado a informações protegidas. **Recomendações** Para versões anteriores à 100.0.4896.88, atualize para a versão 100.0.4896.88 ou posterior para resolver o problema. Como solução temporária, considere desativar o recurso de grupos de abas até que um patch esteja disponível.