セキュリティに関する勧告:QXmlStreamReader 7月 19, 2023 by Qt Group 日本オフィス | Comments 本稿は「Security advisory: QXmlStreamReader」の抄訳です。 最近報告された QXmlStreamReader の潜在的なバッファオーバーフロー問題には、CVE ID CVE-2023-38197 が割り当てられています。 QXmlStreamReader は、XML 本文に DTD トークンを含む再帰的なエンティティ展開でフリーズしたり、メモリ不足になったりする可能性があります。 解決方法:添付のパッチを適用するか、Qt 5.15.15、Qt 6.2.10、または Qt 6.5.3 にアップデートしてください。このパッチを適用する前に、QXmlStreamReader に対する以前のセキュリティ勧告パッチも適用する必要があることに注意してください。 パッチ:dev: https://codereview.qt-project.org/c/qt/qtbase/+/488960Qt 6.5: https://codereview.qt-project.org/c/qt/qtbase/+/490550 または https://download.qt.io/official_releases/qt/6.5/CVE-2023-38197-qtbase-6.5.diffQt 6.2: https://download.qt.io/official_releases/qt/6.2/CVE-2023-38197-qtbase-6.2.diffQt 5.15: https://download.qt.io/official_releases/qt/5.15/CVE-2023-38197-qtbase-5.15.diff Blog Topics: Qt Security XML Comments