本記事は「Regarding recent reported security vulnerabilities from Cisco Talos」の抄訳です。
2022年10月、Qtプロジェクトのセキュリティチームは、Cisco TalosからQMLの整数値オーバーフローとバッファオーバーフローの問題について、Qt 6.3の脆弱性と考えられると連絡を受けました。これは最近、Cisco Talosによってここで公開されました。また、この問題は2つのCVEであるCVE-2022-40983とCVE-2022-43591を発行しました。
最初の報告がQtプロジェクトのセキュリティチームによって処理されたとき、実際にオーバーフローを引き起こすために必要なQMLは、特別に細工されなければならないと判断されました。これは、信頼されていないQMLを実行した結果発生する可能性があり、QMLはこれを考慮した設計にはなっていません。このことは、https://doc.qt.io/qt-6/qtqml-documents-networktransparency.html#implications-for-application-security のドキュメントにも記載されています。
上記の理由からセキュリティチームでは脆弱性とは見なされていなかったものの、これは本当のバグであり、高い優先度(P1)で修正することが決定されました。このことは、QTBUG-107619レポートへのリンクと、この問題を解決するために統合される予定の2つのパッチとともに、当時のCisco Talosに伝え返されました。
Cisco Talos が報告した問題は、Qt プロジェクトのセキュリティチームに報告があった後の最初のリリースである Qt 6.4.1 で既に修正されています。また、サブミットポリシーに従い、可能な限り 6.2 と 5.15 にパッチをバックポートしています。このように、実際に問題を起こすには信頼できないQMLに依存しているため、セキュリティ上の脆弱性としては扱われませんでしたが、有効なバグであり、高い優先度で修正されるべきと判断されました。
Qt 社と Qt プロジェクトは、セキュリティの脆弱性を非常に深刻に受け止めており、問題を解決するためのパッチがどこにあるのか、影響を受けるソフトウェアのどのバージョンが脆弱で、どれが修正されたと考えられているのか、完全な情報を開示することも重要であると考えています。注意事項として、セキュリティポリシーは弊社のQUIPs - https://quips-qt-io.herokuapp.com/quip-0015-Security-Policy.html の一部として文書化されており、オープンソースユーザーと商用ユーザーの両方のセキュリティ問題を報告する方法についての情報が含まれています。
Qt フレームワークや弊社が提供する製品にセキュリティ上の問題があると思われる場合は、Qt プロジェクトのセキュリティチーム(security@qt-project.org)にご連絡ください。商用ライセンスをお持ちの方は、Qt アカウントサポートセンターからサポートチームにレポートを送信してください。Qt バグトラッカーにバグとして問題を報告しないでください。Qt プロジェクトのセキュリティチームがまず問題を確認し、それに基づいて対処します。