ニュース
「Qt」で開発されたWindowsアプリに権限昇格の問題、アプリの権限で任意コードが実行されるおそれ
「Qt 5.14」以降での再作成を
2022年5月10日 09:00
脆弱性ポータルサイト「JVN」は5月9日、新しい脆弱性レポート(JVNVU#92669710)を公表した。マルチプラットフォーム対応アプリフレームワーク「Qt」で開発されたWindowsアプリケーションに権限昇格の脆弱性があるとして、注意を呼び掛けている。
脆弱性レポートによると、「Qt」開発ツールにはインストールパスが「qt_prfxpath」にハードコードされており、開発されたWindowsアプリケーションはそれを元に必要なモジュールを読み込もうとする。そのため、このパスに悪意あるファイルを置いておくことでQtアプリケーションにそのファイルを読み込ませることが可能。最悪の場合、当該Qtアプリの権限で任意のコードを実行できてしまう。
この問題は「Qt 5.14」以降で解決済み。Qt開発環境を最新版へアップデートしてからアプリを作成しなおせば、脆弱性の影響を受けることはない。
また、アプリケーションのパッケージ化を行うツール「windeployqt」を最新版にすることでも、「Qt5Core.dll」に含まれる「qt_prfxpath」の値を削除できるとのこと。
なお、v5系統の最新版「Qt 5.15」はLTS(長期サポート)に指定されており、リリースから5年間、2023年5月26日までアップデートを受けることが可能。ただし、ライフサイクルの長い組込み製品で多用されていることを考慮し、最近になってサポート期間の延長が発表された。サブスクリプションライセンスを持つユーザーに限り、追加で2年のサポートが受けられる。