Trolltech stopft Lücke in den Qt-Bibliotheken

Der Hersteller der plattformübergreifenden C++-Frameworks Qt Trolltech hat einen Quellcode-Patch für die Bibliotheken Qt3 und Qt4 veröffentlicht, der eine Lücke im QUtf8Decoder schließt. Der "Off-by-One"-Fehler bei der Verarbeitung von Unicode-Zeichenketten soll sich in Qt3 ausnutzen lassen, um betroffene Anwendungen abstürzen zu lassen oder ihnen möglicherweise Schadcode durch einen Ein-Byte-Heap-Überlauf unterzujubeln.

In Qt4 soll sich der Fehler dagegen nicht zum Entwickeln eines Exploits nutzen lassen. Der Fehler tritt in allen Qt3.x- und Qt4.x-Versionen auf. Im kommenden Bugfix-Release für Qt4 soll der Patch bereits an Bord sein. Red Hat liefert seit dem gestrigen Freitag aktualisierte Pakete aus. (spo)