zurück zum Artikel

Hochriskante Sicherheitslücken in Qt "nur ein Bug" Update

Dirk Knop

(Bild: Andrey Suslov/Shutterstock.com)

IT-Sicherheitsforscher von Cisco Thalos haben hochriskante Sicherheitslücken in Qt-QML gefunden. Qt sieht App-Entwickler am Zuge und stuft sie nur als Bug ein.

IT-Sicherheitsforscher von Cisco Thalos haben in Qt, genauer in Qt-QML, hochriskante Sicherheitslücken aufgespürt, durch die Angreifer Schadcode einschleusen und ausführen können. Die Qt-Entwickler schätzen die Lücke nicht als Sicherheitsproblem, sondern lediglich als Bug ein.

Qt ermöglicht plattformübergreifende Anwendungs-Entwicklung. Qt-QML ist eine Markup-Programmiersprache, die das Entwickeln von Oberflächen mit an JSON angelehnten Strukturen ermöglicht. Sie wird mit GUI-Designwerkzeugen genutzt und kommt beispielsweise in KDE zum Einsatz.

Qt: Sicherheitslücken in Qt-QML

Bei der ersten der beiden Schwachstellen in Qt-QML kann Javascript-Code einen Integer-Überlauf [1] bei Speicher-Allokierung und in der Folge das Ausführen von untergeschobenen Code auslösen. Die Qt-Anwendung müsste dazu etwa auf eine bösartige Webseite zugreifen (CVE-2022-40983, CVSS 8.8, Risiko "hoch"). Die zweite Sicherheitslücke löst [2] unter ähnlichen Voraussetzungen einen Speicherzugriff außerhalb der Grenzen aus, der ebenfalls zum Ausführen von untergeschobenen Schadecode missbraucht werden kann (CVE-2022-43591, CVSS 8.8, hoch).

Die erste Schwachstelle haben die IT-Forscher in Qt 6.3.2 bestätigt, die zweite zudem in Qt 6.4.

Sicherheitslücken oder nur ein Bug?

In einem Blog-Beitrag auf der Cisco-Thalos-Webseite [3] erläutern die IT-Analysten, dass die Qt-Entwickler auf die Meldung der Lücke mit folgender Stellungnahme reagierten: "Wir haben Ihren Bericht analysiert und sind zu dem Schluss gekommen, dass es sich nicht um ein Sicherheitsproblem handelt, auch, wenn es sich um einen echten Bug handelt. Die QML- und JavaScript-Unterstützung von Qt ist ausdrücklich nicht für nicht vertrauenswürdige Inhalte ausgelegt ..." Jede Anwendung, die nicht vertrauenswürdige Eingaben an QtQml weitergebe, müsse stattdessen ein Sicherheits-Advisory veröffentlichen und künftig eingehende Daten gründlich überprüfen und filtern.

Cisco-Thalos sieht die Fehler weiterhin als Sicherheitslücken und empfiehlt, die Qt-Version 6.3.2 so schnell wie möglich zu aktualisieren. Derzeit ist jedoch unklar, ob neuere Qt-Versionen die Fehler bereits korrigieren. Im Changelog zu Qt 6.4.2 [4] findet sich beispielsweise kein Hinweis auf Änderungen in Qt-QML, ebensowenig in denen zu Qt 6.4.1 [5]. Qt 6.4 gehört zumindest bei einer der Lücken zu den verwundbaren Versionen. Vorerst scheint es daher tatsächlich an Qt-App-Entwicklern zu hängen, Aktualisierungen vorzunehmen und Eingaben vor der Verarbeitung mit Qt zu filtern.

Lesen Sie dazu auch:

Themenseite zu Qt [6] auf heise online
Update

Qt-QML-Kurzerklärung nachgebessert.

(dmk [7])

URL dieses Artikels:
https://www.heise.de/-7462956

Links in diesem Artikel:
[1] https://talosintelligence.com/vulnerability_reports/TALOS-2022-1617
[2] https://talosintelligence.com/vulnerability_reports/TALOS-2022-1650
[3] https://blog.talosintelligence.com/vulnerability-spotlight-integer-and-buffer-overflow-vulnerabilities-found-in-qt-qml/
[4] https://www.qt.io/blog/qt-6.4.2-released
[5] https://code.qt.io/cgit/qt/qtreleasenotes.git/about/qt/6.4.1/release-note.md
[6] https://www.heise.de/thema/Qt
[7] mailto:dmk@heise.de

Copyright © 2023 Heise Medien