Zhenghang Xiao

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 134.0.6998.35 **Description** The issue is an out-of-bounds read in the V8 JavaScript engine in Google Chrome, allowing a remote attacker to perform out-of-bounds memory access via a crafted HTML page. This has a high security severity according to Chromium. The vulnerability could lead to severe consequences for users who do not update their browsers in a timely manner, including potential sandbox escapes and arbitrary code execution. However, there are no reported active exploitations of this issue. **Recommendations** For Google Chrome versions prior to 134.0.6998.35, update to version 134.0.6998.35 or later to address the out-of-bounds read vulnerability in the V8 JavaScript engine. As a temporary workaround, consider restricting access to potentially vulnerable web pages until the update is applied.

Nome do software vulnerável e versões afetadas: Versões do Google Chrome anteriores à 131.0.6778.69 Descrição: O problema está relacionado a uma vulnerabilidade do tipo “use-after-free” no componente Media do Google Chrome, que pode ser explorada por um invasor remoto por meio de uma página HTML especialmente criada. Isso poderia potencialmente levar à corrupção da pilha (heap), afetando a confidencialidade, a integridade e a disponibilidade do sistema. Recomendações: Para versões do Google Chrome anteriores à 131.0.6778.69, atualize para a versão 131.0.6778.69 ou posterior para resolver o problema. Como solução temporária, considere evitar o uso de páginas HTML criadas especificamente para explorar a vulnerabilidade no componente Mídia.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 128.0.6613.137 Microsoft Edge (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma confusão de tipos no V8, que pode ser explorada por um invasor remoto por meio de uma página HTML maliciosa, levando potencialmente à corrupção de objetos. Isso pode afetar a confidencialidade, integridade e disponibilidade de informações protegidas. A gravidade desse problema é classificada como Alta pelo Chromium. **Recomendações** Para versões do Google Chrome anteriores à 128.0.6613.137, atualize para a versão 128.0.6613.137 ou posterior para resolver o problema. Para o Microsoft Edge, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 127.0.6533.99 Versões do Microsoft Edge (versões afetadas não especificadas) **Descrição** O problema está relacionado a um erro de confusão de tipos no mecanismo JavaScript V8, o que pode levar à corrupção da pilha. Isso pode ser explorado por um invasor remoto usando uma página HTML especialmente criada, permitindo potencialmente a execução de código arbitrário. O número estimado de dispositivos potencialmente afetados e detalhes sobre incidentes reais não foram fornecidos. **Recomendações** Para versões do Google Chrome anteriores à 127.0.6533.99, atualize para a versão 127.0.6533.99 ou posterior para resolver o problema. Para o Microsoft Edge, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 125.0.6422.76 **Descrição** O problema está relacionado a uma confusão de tipos no motor JavaScript V8, permitindo que um invasor remoto possa, potencialmente, realizar operações arbitrárias de leitura/gravação por meio de uma página HTML maliciosa. Isso pode levar à execução de código arbitrário. O nível de gravidade de segurança do Chromium para este problema é Alto. **Recomendações** Para versões do Google Chrome anteriores à 125.0.6422.76, atualize para a versão 125.0.6422.76 ou posterior para resolver o problema. Como solução temporária, considere evitar o uso de páginas HTML criadas especificamente para explorar a vulnerabilidade de confusão de tipos no motor JavaScript V8.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 123.0.6312.105 **Descrição** O problema está relacionado a uma implementação inadequada no V8, permitindo que um invasor remoto possa realizar acesso à memória fora dos limites por meio de uma página HTML maliciosa. Isso poderia permitir que o invasor executasse código arbitrário. O nível de gravidade de segurança do Chromium para este problema é Alto. **Recomendações** Para versões do Google Chrome anteriores à 123.0.6312.105, atualize para a versão 123.0.6312.105 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a páginas HTML potencialmente vulneráveis até que a atualização seja aplicada.

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 116.0.5845.96 **Description** The issue is related to a use after free vulnerability in the Audio component of Google Chrome, which can be exploited by a remote attacker using a specially crafted HTML page. This can potentially lead to heap corruption if the attacker convinces a user to engage in specific UI interaction. **Recommendations** For versions prior to 116.0.5845.96, update to version 116.0.5845.96 or later to resolve the issue. As a temporary workaround, consider restricting access to audio features in Google Chrome until a patch is applied.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 108.0.5359.71 **Descrição** A vulnerabilidade está relacionada a uma confusão de tipos no motor JavaScript V8, permitindo que um invasor remoto possa explorar uma corrupção de heap por meio de uma página HTML maliciosa. Isso poderia levar à execução de código arbitrário. A gravidade deste problema é considerada alta. O Google lançou o Chrome 108 com correções para 28 vulnerabilidades, incluindo esta. O pesquisador que descobriu este problema, Zhenghan Xiao, recebeu uma recompensa de US$ 15.000. O Google já pagou mais de US$ 70.000 em recompensas a pesquisadores que relataram essas vulnerabilidades. Não há menção de que esta vulnerabilidade tenha sido usada em ataques reais. **Recomendações** Para versões do Google Chrome anteriores à 108.0.5359.71, atualize para a versão 108.0.5359.71 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a componentes potencialmente vulneráveis até que a atualização seja aplicada.