Clarkb7

Nome do Software Vulnerável e Versões Afetadas: Versões do go-crypto-winnative anteriores a 1.23.6-2 Versões do go-crypto-winnative anteriores a 1.22.12-2 Versão do go-crypto-winnative 0.0.0-20250211154640-f49c8e1379ea Descrição: O problema está relacionado ao backend de criptografia Go do go-crypto-winnative para Windows, que utiliza a Cryptography API: Next Generation (CNG). As chamadas para `cng.TLS1PRF` não liberam o handle da chave, resultando em um pequeno vazamento de memória a cada chamada. Recomendações: Para versões do go-crypto-winnative anteriores a 1.23.6-2, atualize para a versão 1.23.6-2 ou posterior. Para versões do go-crypto-winnative anteriores a 1.22.12-2, atualize para a versão 1.22.12-2 ou posterior. Para a versão do go-crypto-winnative 0.0.0-20250211154640-f49c8e1379ea, nenhuma ação adicional é necessária, pois esta versão já inclui a correção. Como medida temporária de contorno (workaround), considere restringir o uso da função `cng.TLS1PRF` até que uma correção seja aplicada.