Young Min Kim

**Nome do software vulnerável e versões afetadas** Versões do Mozilla Firefox anteriores à 122 **Descrição** O problema está relacionado a um controle de acesso insuficiente no Mozilla Firefox, permitindo que um invasor remoto explore a falha e insira um URI arbitrário na barra de endereços ou no histórico do navegador. Um processo de conteúdo comprometido poderia atualizar o URI do documento, permitindo que um invasor realizasse tais ações. **Recomendações** Para versões anteriores à 122, atualize para a versão 122 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a recursos confidenciais até que a atualização seja aplicada.

**Name of the Vulnerable Software and Affected Versions** MuseScore (affected versions not specified) **Description** This issue allows remote attackers to execute arbitrary code on affected installations of MuseScore. User interaction is required to exploit this issue, where the target must visit a malicious page or open a malicious file. The specific flaw exists within the parsing of CAP files, resulting from the lack of proper validation of the length of user-supplied data prior to copying it to a heap-based buffer. An attacker can leverage this issue to execute code in the context of the current process. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this issue.

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 112.0.5615.49 **Description** The issue is related to insufficient validation of untrusted input in the Safe Browsing feature, allowing a remote attacker to bypass download checking via a crafted HTML page. This could potentially reveal protected information. The estimated number of affected devices and real-world incidents are not specified. **Recommendations** For versions prior to 112.0.5615.49, update to version 112.0.5615.49 or later to resolve the issue. As a temporary workaround, consider restricting access to untrusted HTML pages to minimize the risk of exploitation.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 107.0.5304.62 Microsoft Edge (versões afetadas não especificadas) **Descrição** O problema está relacionado à validação insuficiente de dados nas extensões, o que poderia permitir que um invasor remoto que tenha comprometido o processo de renderização vazasse dados entre origens por meio de uma extensão maliciosa. Isso poderia potencialmente levar ao acesso não autorizado a informações protegidas. **Recomendações** Para versões do Google Chrome anteriores à 107.0.5304.62, atualize para a versão 107.0.5304.62 ou posterior para resolver o problema. Para o Microsoft Edge, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Safari anteriores à 15.6 Versões do iOS anteriores à 15.6 Versões do iPadOS anteriores à 15.6 **Descrição** O problema está relacionado a melhorias no tratamento da interface do usuário e pode causar vazamento de dados confidenciais ao acessar um site criado com intenção maliciosa. **Recomendações** Para versões do Safari anteriores à 15.6, atualize para o Safari 15.6 ou posterior. Para versões do iOS anteriores à 15.6, atualize para o iOS 15.6 ou posterior. Para versões do iPadOS anteriores à 15.6, atualize para o iPadOS 15.6 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do uBlock Origin anteriores à 1.41.1 **Descrição** Uma vulnerabilidade de Cross Site Scripting (XSS) permite que invasores remotos executem código arbitrário por meio de um `MessageSender.url` falsificado no processo de renderização do navegador. Isso permite que invasores executem scripts maliciosos, o que pode levar a ações não autorizadas no sistema afetado. **Recomendações** Para versões anteriores à 1.41.1, atualize para a versão 1.41.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a sites potencialmente vulneráveis ou desativar a extensão uBlock Origin até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do navegador Whale anteriores à 3.12.129.18 **Descrição** O problema diz respeito à API devtools do navegador Whale, que permitia que desenvolvedores de extensões injetassem código JavaScript arbitrário na página da loja de extensões por meio de `devtools.inspectedWindow`. Isso fazia com que extensões fossem baixadas e enviadas quando os usuários abriam a ferramenta de desenvolvedor. **Recomendações** Para versões do navegador Whale anteriores à 3.12.129.18, atualize para a versão 3.12.129.18 ou posterior para resolver o problema. Como solução temporária, considere desativar o uso da API devtools até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do navegador Whale anteriores à 3.12.129.18 **Descrição** O problema diz respeito à API de Solicitação da Web, que permitia que o acesso à loja de extensões fosse negado ou redirecionado para qualquer URL quando os usuários tentavam acessar a loja. **Recomendações** Para versões anteriores à 3.12.129.18, atualize para a versão 3.12.129.18 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do navegador Whale anteriores à 3.12.129.18 **Descrição** A vulnerabilidade permite que o Whale Bridge, uma extensão padrão do navegador Whale, receba qualquer solicitação SendMessage proveniente do próprio script de conteúdo. Isso poderia levar ao controle do Whale Bridge caso o processo de renderização seja comprometido. **Recomendações** Para versões anteriores à 3.12.129.18, atualize para a versão 3.12.129.18 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à extensão Whale Bridge para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do navegador Whale anteriores à 3.12.129.18 **Descrição** A vulnerabilidade permite que extensões substituam arquivos JavaScript do site do visualizador HWP, o que poderia possibilitar o acesso a arquivos HWP locais. Quando os arquivos HWP são abertos, o script substituído pode ler os arquivos. **Recomendações** Para versões anteriores à 3.12.129.18, atualize para a versão 3.12.129.18 ou posterior para resolver o problema. Como solução temporária, considere desativar o uso de extensões que possam substituir arquivos JavaScript do site do visualizador HWP até que um patch seja aplicado. Restrinja o acesso a arquivos HWP locais ao usar o site do visualizador HWP no navegador Whale para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Firefox anteriores à 98 **Descrição** O problema está relacionado às dicas de preenchimento automático (Autofill) no Firefox, nas quais o texto exibido não pode ser lido diretamente pelo JavaScript, mas é renderizado usando as fontes da página. Isso poderia levar a ataques de canal lateral utilizando fontes especialmente criadas, permitindo potencialmente que um invasor deduza o texto. A vulnerabilidade está associada à falta de proteção para dados confidenciais, o que poderia permitir que uma parte não autorizada acessasse informações protegidas. **Recomendações** Para versões anteriores à 98, atualize para a versão 98 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso das dicas de preenchimento automático até que um patch seja aplicado. Evite usar fontes especialmente criadas que possam ser utilizadas em ataques de canal lateral.

**Nome do software vulnerável e versões afetadas** Microsoft Edge (baseado no Chromium) (versões afetadas não especificadas) **Descrição** O problema está relacionado a erros na representação de informações pela interface do usuário. A exploração dessa vulnerabilidade pode permitir que um invasor remoto realize ataques de spoofing. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do navegador Whale anteriores à 3.12.129.46 **Descrição** Uma extensão integrada no navegador Whale permite que invasores comprometam o processo de renderização, o que poderia levar ao controle das APIs internas do navegador. **Recomendações** Para versões anteriores à 3.12.129.46, atualize para a versão 3.12.129.46 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 97.0.4692.71 **Descrição** O problema está relacionado a uma implementação inadequada no recurso de preenchimento automático do Google Chrome, o que pode permitir que um invasor remoto obtenha informações potencialmente confidenciais. Isso pode ser feito por meio de uma página HTML especialmente criada, explorando falhas na forma como as informações são apresentadas na interface do usuário. **Recomendações** Para versões do Google Chrome anteriores à 97.0.4692.71, atualize para a versão 97.0.4692.71 ou posterior para resolver o problema.

**Nome do software vulnerável e versões afetadas** Microsoft PowerShell (versões afetadas não especificadas) **Descrição** O problema está relacionado a erros na representação de informações pela interface do usuário do interpretador do PowerShell. A exploração dessa vulnerabilidade pode permitir que um invasor realize ataques de spoofing. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.