Nikki Vonhollen

**Nome do software vulnerável e versões afetadas** Versões do go-attestation anteriores à 0.4.0 **Descrição** O problema é causado por uma validação inadequada de entradas em `AKPublic.Verify`, permitindo que usuários locais forneçam uma citação (Quote) maliciosamente criada sobre nenhum ou alguns PCRs, fazendo com que `AKPublic.Verify` seja executado com sucesso apesar da inconsistência. O uso subsequente do mesmo conjunto de valores de PCR em `Eventlog.Verify` carece da autenticação realizada pela verificação de citação, o que significa que um invasor local poderia combinar essa vulnerabilidade com um log TCG criado de forma maliciosa em `Eventlog.Verify` para falsificar eventos no log TCG, frustrando assim a inicialização medida atestada remotamente. **Recomendações** Para versões do go-attestation anteriores à 0.4.0, atualize para a versão 0.4.0 ou superior para resolver o problema. Se o uso desta biblioteca verificar PCRs usando múltiplas citações, certifique-se de usar o novo método `AKPublic.VerifyAll()` em vez de `AKPublic.Verify`.