Sicherheitsleck in Qt
In der Qt-Bibliothek können Schwachstellen dazu führen, dass Angreifer Schadcode auf betroffenen Rechner ausführen.
Der Hersteller der Qt-Bibliothek, Trolltech, hat einen Quellcode-Patch für Qt3 herausgegeben, der eine Sicherheitslücke schließt. Beim Verarbeiten von präparierten Zeichenketten durch Anwendungen, die das plattformübergreifende C++-Framework nutzen, können Fehler zur Ausführung von fremden Code führen.
Die Routinen für das QTextEdit-Element enthalten sogenannte Format-String-Schwachstellen und Ganzzahlüberläufe. Diese können auftreten, wenn eine gegen Qt verlinkte Anwendung Fehlermeldungen ausgibt und dabei vom Benutzer angegebenen Text integriert. Der Fehler betrifft Qt3 bis einschließlich der aktuellen Version 3.3.8. Unter anderem nutzt der KDE-Desktop die Bibliothek in dieser Version.
Red Hat hat bereits aktualisierte Pakete veröffentlicht, andere Linux-Distributoren dürften in Kürze folgen. Anwender sollten die aktualisierten Pakete einspielen, sofern sie verfügbar sind.
Siehe dazu auch:
- qt security update, Fehlerbericht von Red Hat
- Trolltech Provides Security Patch to Qt 3.3.8, Addressing Potential Vulnerability, Sicherheitsmeldung von Trolltech
- Quellcode-Patch von Trolltech
(dmk)
