セキュリティ勧告：QStringConverter

QStringConverterには、スタックの変更を許可するコールバックとして無効なポインタが渡されており、CVE ID CVE-2024-33861が割り当てられました。

Qt自体はリモート攻撃の脆弱性を持っていませんが、QStringDecoderを直接または間接的に使用するアプリケーションは脆弱性を持つ可能性があります。これは、Qt 6.5.0〜6.5.5、6.6.x および 6.7.0に影響します。

この脆弱性が発生するには、以下の条件が満たされる必要があります。

1. 攻撃者がアプリケーションに特定のコーデックを使用するよう指示できること
2. 攻撃者がアプリケーションにデータを特定の方法で提供して、望ましい変更を引き起こすこと
3. 攻撃者がスタック内の何が変更されるかを知る必要があり、それにはアプリケーションのビルドを知っていること（すべてのビルドが脆弱というわけではありません）
4. 変更は、アプリケーションをクラッシュさせる以外に、攻撃者にとって何か有益なことをする

Qtはこれらのコーデックを自動的に使用しないため、この脆弱性を引き起こすには、アプリケーションがQStringDecoderを使用する機能を実装する必要があります。

解決策：以下のパッチを適用するか、Qt 6.5.6またはQt 6.7.1にアップデートしてください。

パッチ：

• dev: https://codereview.qt-project.org/c/qt/qtbase/+/555922
• 6.7: https://codereview.qt-project.org/c/qt/qtbase/+/556191 又は
  https://download.qt.io/official_releases/qt/6.7/CVE-2024-33861-qtbase-6.7.diff
• 6.6: https://download.qt.io/official_releases/qt/6.6/CVE-2024-33861-qtbase-6.6.diff
• 6.5: https://codereview.qt-project.org/c/qt/tqtc-qtbase/+/556369 又は https://download.qt.io/official_releases/qt/6.5/CVE-2024-33861-qtbase-6.5.diff