本稿は「Security advisory: QXmlStreamReader」の抄訳です。
最近報告された QXmlStreamReader の潜在的なバッファオーバーフロー問題には、CVE ID CVE-2023-38197 が割り当てられています。
QXmlStreamReader は、XML 本文に DTD トークンを含む再帰的なエンティティ展開でフリーズしたり、メモリ不足になったりする可能性があります。
解決方法:添付のパッチを適用するか、Qt 5.15.15、Qt 6.2.10、または Qt 6.5.3 にアップデートしてください。このパッチを適用する前に、QXmlStreamReader に対する以前のセキュリティ勧告パッチも適用する必要があることに注意してください。
パッチ:
dev: https://codereview.qt-project.org/c/qt/qtbase/+/488960
Qt 6.5: https://codereview.qt-project.org/c/qt/qtbase/+/490550 または https://download.qt.io/official_releases/qt/6.5/CVE-2023-38197-qtbase-6.5.diff
Qt 6.2: https://download.qt.io/official_releases/qt/6.2/CVE-2023-38197-qtbase-6.2.diff
Qt 5.15: https://download.qt.io/official_releases/qt/5.15/CVE-2023-38197-qtbase-5.15.diff