Peter Esbensen

**Nome do software vulnerável e versões afetadas** Versões do Tink anteriores à 1.5 **Descrição** Um tratamento incorreto de caracteres Unicode inválidos na implementação Java do Tink permite que um invasor altere a parte de identificação de um texto cifrado, resultando na criação de um segundo texto cifrado que pode ser descriptografado para o mesmo texto em claro. Esse problema compromete a integridade do texto cifrado, particularmente ao criptografar com um AEAD determinístico usando uma única chave e dependendo de um texto cifrado único por texto em claro. Não ocorre perda de confidencialidade ou integridade do texto em claro devido a este problema. **Recomendações** Para versões do Tink anteriores à 1.5, a falha foi corrigida em uma solicitação de pull específica. Como solução alternativa, considere fazer o backport da solicitação de pull com a correção até que uma versão mais recente esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.