「Qt」で開発されたWindowsアプリに権限昇格の問題、アプリの権限で任意コードが実行されるおそれ

「JVN」の脆弱性レポート（JVNVU#92669710）

　脆弱性ポータルサイト「JVN」は5月9日、新しい脆弱性レポート（JVNVU#92669710）を公表した。マルチプラットフォーム対応アプリフレームワーク「Qt」で開発されたWindowsアプリケーションに権限昇格の脆弱性があるとして、注意を呼び掛けている。

　脆弱性レポートによると、「Qt」開発ツールにはインストールパスが「qt_prfxpath」にハードコードされており、開発されたWindowsアプリケーションはそれを元に必要なモジュールを読み込もうとする。そのため、このパスに悪意あるファイルを置いておくことでQtアプリケーションにそのファイルを読み込ませることが可能。最悪の場合、当該Qtアプリの権限で任意のコードを実行できてしまう。

　この問題は「Qt 5.14」以降で解決済み。Qt開発環境を最新版へアップデートしてからアプリを作成しなおせば、脆弱性の影響を受けることはない。

　また、アプリケーションのパッケージ化を行うツール「windeployqt」を最新版にすることでも、「Qt5Core.dll」に含まれる「qt_prfxpath」の値を削除できるとのこと。

　なお、v5系統の最新版「Qt 5.15」はLTS（長期サポート）に指定されており、リリースから5年間、2023年5月26日までアップデートを受けることが可能。ただし、ライフサイクルの長い組込み製品で多用されていることを考慮し、最近になってサポート期間の延長が発表された。サブスクリプションライセンスを持つユーザーに限り、追加で2年のサポートが受けられる。

「Qt 5.15」のサポート期間