Xi-Tauw

**Nome do software vulnerável e versões afetadas** Versões do Yandex Browser anteriores à 22.3.3.801 **Descrição** O problema está relacionado a erros no processamento de arquivos temporários durante o processo de atualização, o que pode permitir que um invasor eleve seus privilégios. Um invasor local com privilégios limitados pode executar código arbitrário com privilégios de SISTEMA ao manipular arquivos temporários em um diretório com permissões inseguras. **Recomendações** Para versões anteriores à 22.3.3.801, atualize para a versão 22.3.3.801 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao diretório de arquivos temporários para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Yandex Browser anteriores à 22.3.3.684 **Descrição** O problema está relacionado a erros no tratamento de links simbólicos durante o carregamento do arquivo de instalação, o que pode ser explorado para elevar privilégios. Um invasor local com privilégios limitados pode executar código arbitrário com privilégios de SISTEMA manipulando links simbólicos para o arquivo de instalação durante o processo de atualização do Yandex Browser. **Recomendações** Para versões anteriores à 22.3.3.684, atualize para a versão 22.3.3.684 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao arquivo de instalação e ao processo de atualização para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do ClickHouse anteriores à v20.8.18.32-lts Versões do ClickHouse anteriores à v21.1.9.41-stable Versões do ClickHouse anteriores à v21.2.9.41-stable Versões do ClickHouse anteriores à v21.3.6.55-lts Versões do ClickHouse anteriores à v21.4.3.21-stable Versões do Yandex Browser para Windows anteriores à 21.9.0.390 **Descrição** A vulnerabilidade está relacionada à divulgação de informações e permite que um invasor remoto acesse dados confidenciais. Ela também envolve uma vulnerabilidade de privilégios locais que permite que um invasor local com privilégios limitados execute código arbitrário com privilégios de SISTEMA ao manipular arquivos em um diretório com permissões inseguras durante o processo de atualização do Yandex Browser. Um invasor com privilégio CREATE DICTIONARY pode ler arquivos arbitrários fora do diretório permitido. **Recomendações** Para versões do ClickHouse anteriores à v20.8.18.32-lts, atualize para a versão v20.8.18.32-lts ou posterior. Para versões do ClickHouse anteriores à v21.1.9.41-stable, atualize para a versão v21.1.9.41-stable ou posterior. Para versões do ClickHouse anteriores à v21.2.9.41-stable, atualize para a versão v21.2.9.41-stable ou posterior. Para versões do ClickHouse anteriores à v21.3.6.55-lts, atualize para a versão v21.3.6.55-lts ou posterior. Para versões do ClickHouse anteriores à v21.4.3.21-stable, atualize para a versão v21.4.3.21-stable ou posterior. Para versões do Yandex Browser para Windows anteriores à 21.9.0.390, atualize para a versão 21.9.0.390 ou posterior. Como solução alternativa temporária, considere restringir o privilégio CREATE DICTIONARY

**Nome do software vulnerável e versões afetadas** Versões do Yandex Browser anteriores à 22.5.0.862 **Descrição** O problema está relacionado a erros no processamento de links simbólicos ao carregar o arquivo de instalação, o que pode permitir que um invasor eleve seus privilégios. Um invasor local com privilégios limitados pode explorar essa vulnerabilidade para executar código arbitrário com privilégios de SISTEMA, manipulando links simbólicos para o arquivo de instalação durante o processo de atualização do Yandex Browser. **Recomendações** Para versões anteriores à 22.5.0.862, atualize para a versão 22.5.0.862 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao arquivo de instalação e ao processo de atualização para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** Valve Steam Client for Windows versions prior to 2019-08-07 **Description** The issue allows local users to gain NT AUTHORITYSYSTEM access due to explicit "Full control" for the Users group in the HKLMSOFTWAREWow6432NodeValveSteam registry key. **Recommendations** For versions prior to 2019-08-07, consider restricting access to the HKLMSOFTWAREWow6432NodeValveSteam registry key to prevent local users from gaining elevated privileges.