本稿は「Security advisory: Qt SVG」の抄訳です。
Qt SVGにおけるゼロディバイドの可能性が最近報告され、CVE ID CVE-2023-32573 が割り当てられました。
QSvgFontにおいて、変数m_unitsPerEmの初期化が正しく処理されていないため、units-per-emが設定されていないfont-faceを使用したSVGファイルをQSvgRendererに渡して描画すると、ゼロによる除算が発生する可能性があります。
解決策:Qt 5.15.14、Qt 6.2.9、Qt 6.5.1 にアップデート、又は以下のパッチを適用してください。
パッチ:
dev: https://codereview.qt-project.org/c/qt/qtsvg/+/474093
Qt 6.5: https://codereview.qt-project.org/c/qt/qtsvg/+/474404 または https://download.qt.io/official_releases/qt/6.5/CVE-2023-32573-qtsvg-6.5.diff
Qt 6.2: https://download.qt.io/official_releases/qt/6.2/CVE-2023-32573-qtsvg-6.2.diff
Qt 5.15: https://download.qt.io/official_releases/qt/5.15/CVE-2023-32573-qtsvg-5.15.diff