Qtセキュリティ勧告： GDI フォントエンジンと WebP 画像フォーマット

本稿は「Two Qt security advisorys: GDI Font Engine & WebP image format」の抄訳です。

Windows の GDI フォントエンジンに関する問題が報告され、CVE ID CVE-2023-43114 が割り当てられました。

破損したフォントデータが QFontDatabase::addApplicationFont[FromData] を介して GDI フォントエンジンに渡されると、アプリケーションがクラッシュすることがありました。

回避策として、フォントが安全に使用できることを事前に確認するか、Qt 5.15.16、Qt 6.2.10、Qt 6.5.3、Qt 6.6.0 に以下のパッチまたはアップデートを適用してください。

パッチ：

dev: https://codereview.qt-project.org/c/qt/qtbase/+/503026
6.5: https://download.qt.io/official_releases/qt/6.5/CVE-2023-43114-6.5.patch
6.2: https://download.qt.io/official_releases/qt/6.2/CVE-2023-43114-6.2.patch
5.15: https://download.qt.io/official_releases/qt/5.15/CVE-2023-43114-5.15.patch

libwebp ライブラリの問題が最近報告され、CVE ID CVE-2023-4863 が割り当てられました。

悪意のある WebP 画像がライブラリに渡されると、バッファオーバフローを引き起こす可能性があります。

回避策としては、手動で WebP ライブラリを 1.3.2 に更新し、imageformat プラグインを再構築してください。あるいは、以下のパッチを適用する又は、Qt 5.15.16、Qt 6.2.10、Qt 6.5.3、Qt 6.6.0 にアップデートしてください。

パッチ：

dev: https://codereview.qt-project.org/c/qt/qtimageformats/+/504175
6.5: https://download.qt.io/official_releases/qt/6.5/CVE-2023-4863-6.5.patch
6.2: https://download.qt.io/official_releases/qt/6.2/CVE-2023-4863-6.2.patch
5.15: https://download.qt.io/official_releases/qt/5.15/CVE-2023-4863-5.15.patch