Qtブログ(日本語)

セキュリティに関する勧告:Qt SVG

作成者: Qt Group 日本オフィス|May 15, 2023 2:14:46 PM

本稿は「Security advisory: Qt SVG」の抄訳です。

Qt SVGにおけるゼロディバイドの可能性が最近報告され、CVE ID CVE-2023-32573 が割り当てられました。

QSvgFontにおいて、変数m_unitsPerEmの初期化が正しく処理されていないため、units-per-emが設定されていないfont-faceを使用したSVGファイルをQSvgRendererに渡して描画すると、ゼロによる除算が発生する可能性があります。

解決策:Qt 5.15.14、Qt 6.2.9、Qt 6.5.1 にアップデート、又は以下のパッチを適用してください。

パッチ:

dev: https://codereview.qt-project.org/c/qt/qtsvg/+/474093
Qt 6.5: https://codereview.qt-project.org/c/qt/qtsvg/+/474404 または https://download.qt.io/official_releases/qt/6.5/CVE-2023-32573-qtsvg-6.5.diff
Qt 6.2: https://download.qt.io/official_releases/qt/6.2/CVE-2023-32573-qtsvg-6.2.diff
Qt 5.15: https://download.qt.io/official_releases/qt/5.15/CVE-2023-32573-qtsvg-5.15.diff