セキュリティ勧告：無効なQMLイメージソースの読み込み

10月 22, 2023 by Qt Group 日本オフィス | Comments

無効なQMLイメージのソースをロードする際の問題が報告され、CVE ID CVE-2023-45872が割り当てられました。

無効なソースを使用して画像を指定すると、その画像をSVGファイルとしてロードしようとし、Qt SVGがクラッシュする可能性があります。この問題はQt 5.15.xとQt 6.5.3には影響しません。

解決策：回避策として、画像ソースのURLが有効であるかを事前に確認してください。または、以下のパッチの適用や、Qt 6.2.11とQt 6.6.1へアップデートを行ってください。

パッチ:

dev: https://codereview.qt-project.org/c/qt/qtsvg/+/510674
6.6: https://codereview.qt-project.org/c/qt/qtsvg/+/510692 または
https://download.qt.io/official_releases/qt/6.6/CVE-2023-45872-qtsvg-6.6.0.diff
6.2: https://download.qt.io/official_releases/qt/6.2/CVE-2023-45872-qtsvg-6.2.10.diff

 

---

Blog Topics:

• QML
• Qt
• Security
• SVG