Der C++-UI-Framework Qt weist hochriskante Sicherheitslücken auf, die unter anderem die Kompromittierung des Systems ermöglichen. Eine davon ist nur als ein Bug behandelt und stellt ein großes Sicherheitsrisiko dar. Die beiden anderen sind sechs Monate nach dem Melden noch ungepatcht.
Das Open-Source-Projekt Qt ist, wie viele andere Branchenführer der UI- und App-Entwicklung, das Ziel einiger schwerwiegender Sicherheitslücken. Laut einer Studie des Teams der ZDI (Zero Day Initiative) weisen drei dieser Sicherheitslücken ein erhebliches Risiko dar.
Der erste ist ein sehr komplexer Bug, unter anderem auch durch unberechtigte 360 KB-Berechtigungen verursacht. Der nächste Fall ist eine Out-of-Bounds-Write-Schwachstelle, über die ein Angreifer speziell konstruierte Pakete an einen Client senden kann, um dessen Speicher zu kompromittieren. Der letzte Fall ist eine „heap-basierte“ Out-of-Bounds Lese-Schwachstelle, die ebenfalls durch globale Schreibberechtigungen verursacht wird.
Auch wenn das Qt-Team bereits im März dieses Jahres über die Schwachstelle informiert wurde, ist bisher noch kein Patch erhältlich. Qt-Benutzer sind also angehalten, einzuschätzen, ob das Risiko weiterhin akzeptabel ist oder mehr Schutzmaßnahmen erforderlich sind.
Hochriskante Sicherheitslücken im C++-UI-Framework Qt
Das Open-Source-Projekt Qt weist hochriskante Sicherheitslücken auf, welche unter anderem die Kompromittierung des Systems ermöglichen. Eine davon wurde nur als ein Bug behandelt und stellt ein großes Sicherheitsrisiko dar. Die beiden anderen sind sechs Monate nach dem Melden noch ungepatcht. Qt-Benutzer sind angehalten, das Risiko einzuschätzen und gegebenenfalls Maßnahmen zu ergreifen.
Antworten