Skip to main content

セキュリティ勧告:無効なQMLイメージソースの読み込み

2023年10月22日

by Qt Group 日本オフィス
コメント

無効なQMLイメージのソースをロードする際の問題が報告され、CVE ID CVE-2023-45872が割り当てられました。

無効なソースを使用して画像を指定すると、その画像をSVGファイルとしてロードしようとし、Qt SVGがクラッシュする可能性があります。この問題はQt 5.15.xとQt 6.5.3には影響しません。

解決策:回避策として、画像ソースのURLが有効であるかを事前に確認してください。または、以下のパッチの適用や、Qt 6.2.11とQt 6.6.1へアップデートを行ってください。

パッチ:

dev: https://codereview.qt-project.org/c/qt/qtsvg/+/510674
6.6: https://codereview.qt-project.org/c/qt/qtsvg/+/510692 または
https://download.qt.io/official_releases/qt/6.6/CVE-2023-45872-qtsvg-6.6.0.diff
6.2: https://download.qt.io/official_releases/qt/6.2/CVE-2023-45872-qtsvg-6.2.10.diff

 

トピック

コメント

ブログを購読

Qt 6.11 を今すぐ試そう!

最新リリースはこちらからダウンロードできます。 www.qt.io/download

 Qt 6.11 がリリースされました!アプリケーション開発者やデバイス開発者向けに、多くの新機能と改善が追加されています。 

採用情報 

現在、さまざまなポジションで採用を行っています。募集職種はこちら をご覧ください。また、Instagram をフォローして #QtPeople の働き方もぜひチェックしてください。 

関連記事

セキュリティ勧告:Qt SVG マーカー処理における型混同およびヒープバッファオーバーフローの脆弱性

セキュリティ勧告:Qt SVG マーカー処理における型混同およびヒープバッファオーバーフローの脆弱性

このブログは「Security advisory: Type confusion and heap-buffer-overflow..

記事を読む
セキュリティ勧告:Qt declarativeモジュールのVectorImageコンポーネントにおけるQMLコードインジェクション

セキュリティ勧告:Qt declarativeモジュールのVectorImageコンポーネントにおけるQMLコードインジェクション

このブログは「Security advisory: QML Code Injection in VectorImage Component in..

記事を読む
QMLツールに関する6.11の新機能、第3部:コンテキストプロパティのサポート

QMLツールに関する6.11の新機能、第3部:コンテキストプロパティのサポート

このブログは「What's new in QML Tooling in 6.11, part 3: context property..

記事を読む