Qtブログ(日本語)

セキュリティ勧告:無効なQMLイメージソースの読み込み

作成者: Qt Group 日本オフィス|Oct 22, 2023 1:05:44 PM

無効なQMLイメージのソースをロードする際の問題が報告され、CVE ID CVE-2023-45872が割り当てられました。

無効なソースを使用して画像を指定すると、その画像をSVGファイルとしてロードしようとし、Qt SVGがクラッシュする可能性があります。この問題はQt 5.15.xとQt 6.5.3には影響しません。

解決策:回避策として、画像ソースのURLが有効であるかを事前に確認してください。または、以下のパッチの適用や、Qt 6.2.11とQt 6.6.1へアップデートを行ってください。

パッチ:

dev: https://codereview.qt-project.org/c/qt/qtsvg/+/510674
6.6: https://codereview.qt-project.org/c/qt/qtsvg/+/510692 または
https://download.qt.io/official_releases/qt/6.6/CVE-2023-45872-qtsvg-6.6.0.diff
6.2: https://download.qt.io/official_releases/qt/6.2/CVE-2023-45872-qtsvg-6.2.10.diff