Vladimir Metnew

**Nome do software vulnerável e versões afetadas** Versões do Thunderbird anteriores à 68.5 Versões do Firefox anteriores à 73 Versões do Firefox ESR anteriores à 68.5 **Descrição** Uma extensão com privilégios limitados pode iniciar um aplicativo arbitrário no computador do usuário baixando um arquivo com a extensão .fileloc. No entanto, a capacidade do invasor de explorar essa vulnerabilidade é limitada, pois ele não pode baixar arquivos que não estejam em quarentena nem fornecer argumentos de linha de comando ao aplicativo. Essa vulnerabilidade afeta apenas o Mac OSX; outros sistemas operacionais não são afetados. **Recomendações** Para versões do Thunderbird anteriores à 68.5, atualize para a versão 68.5 ou posterior. Para versões do Firefox anteriores à 73, atualize para a versão 73 ou posterior. Para versões do Firefox ESR anteriores à 68.5, atualize para a versão 68.5 ou posterior. Como solução alternativa temporária, considere restringir o manuseio de arquivos .fileloc para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 80.0.3987.87 **Descrição** O problema está relacionado à aplicação insuficiente de políticas em downloads e à validação insuficiente de entradas. Isso poderia permitir que um invasor remoto obtivesse acesso não autorizado a informações, comprometesse sua integridade e disponibilidade e executasse código arbitrário por meio de uma extensão do Chrome especialmente criada, caso um usuário fosse convencido a instalar uma extensão maliciosa. **Recomendações** Para versões do Google Chrome anteriores à 80.0.3987.87, atualize para a versão 80.0.3987.87 ou posterior para resolver o problema. Como solução temporária, considere restringir a instalação de extensões para minimizar o risco de exploração. Evite usar a funcionalidade `extension` no Google Chrome até que o problema seja resolvido.

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 70.0.3538.67 **Description** The issue is related to incorrect handling of history on iOS in Navigation, allowing a remote attacker to spoof the contents of the Omnibox (URL bar) via a crafted HTML page. This is due to insufficient input validation, which can be exploited by a remote attacker to manipulate the Omnibox component. **Recommendations** For versions prior to 70.0.3538.67, update to version 70.0.3538.67 or later to resolve the issue. As a temporary workaround, consider avoiding the use of crafted HTML pages that may exploit this issue until a patch is applied.