Erik Maclean

**Nome do software vulnerável e versões afetadas** Versões da biblioteca tough anteriores à 0.7.1 **Descrição** O problema decorre da falha da biblioteca tough em verificar adequadamente a exclusividade das chaves nas assinaturas fornecidas, permitindo que um invasor com acesso a uma chave de assinatura válida crie várias assinaturas válidas. Isso pode ser usado para contornar a exigência de um limite mínimo de assinaturas únicas antes que os metadados sejam considerados válidos. Uma correção está disponível na versão 0.7.1. **Recomendações** Para versões anteriores à 0.7.1, atualize para a versão 0.7.1 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso às chaves de assinatura para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do TUF (também conhecido como The Update Framework) anteriores à 0.7.1 TUF (também conhecido como The Update Framework) até a versão 0.12.1 **Descrição** O problema está relacionado à verificação inadequada de assinaturas criptográficas, permitindo que alguém com acesso a uma chave de assinatura válida crie múltiplas assinaturas válidas e contorne a exigência de um limite mínimo de chaves únicas. Isso permite que um invasor faça com que os metadados pareçam válidos. Uma correção está disponível, e o problema foi relatado por Erick Tryzelaar, da equipe do Google Fuchsia. **Recomendações** Para versões do TUF (também conhecido como The Update Framework) anteriores à 0.7.1, atualize para a versão 0.7.1 para resolver o problema. Para versões do TUF (também conhecido como The Update Framework) até a 0.12.1, atualize para uma versão posterior à 0.12.1 para resolver o problema.