「Qt」で修正されたはずの脆弱性パッチが含まれていないことが発覚 ～最新版で修正

公式ブログのリリース記事

　アプリケーションフレームワーク「Qt」の開発チームは10月17日、リリースノートに誤りがあったことを明らかにした。Windowsで報告されたGDIフォントエンジンの脆弱性「CVE-2023-43114」に対する修正を当初「Qt 6.5.3」で実施したとしていたが、「Qt 6.5.3」にはこのパッチが含まれていなかったという。

　「CVE-2023-43114」は、データサイズの確認処理の不備により破損したフォントが読み込まれるとアプリケーションがクラッシュするという脆弱性。Windows版のv5.15.16以前、v6.2.10以前、v6.3.xから6.5.3以前の「Qt」アプリケーションに影響する。「CVSS v3」の基本値は「5.5」（Medium）。

　この脆弱性に対するパッチは、すでに「Qt 6.5.4」に統合されているとのこと。

　「Qt」は、C++言語で開発されているアプリケーション開発フレームワーク。主要なデスクトップOSから組込みOSまでの幅広いプラットフォームで動作するアプリケーションを単一のコードで開発できるのが特徴。とくに近年では組込みシステムで採用が急増しているという。