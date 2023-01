IT-Sicherheitsforscher von Cisco Thalos haben in Qt, genauer in Qt-QML, hochriskante Sicherheitslücken aufgespürt, durch die Angreifer Schadcode einschleusen und ausführen können. Die Qt-Entwickler schätzen die Lücke nicht als Sicherheitsproblem, sondern lediglich als Bug ein.

Qt ermöglicht plattformübergreifende Anwendungs-Entwicklung. Qt-QML ist dabei eine Programmiersprache, die das Entwickeln von Oberflächen mit an JSON angelehnten Strukturen ermöglicht. Sie empfiehlt sich damit insbesondere für mobile Apps.

Qt: Sicherheitslücken in Qt-QML

Bei der ersten der beiden Schwachstellen in Qt-QML kann Javascript-Code einen Integer-Überlauf bei Speicher-Allokierung und in der Folge das Ausführen von untergeschobenen Code auslösen. Die Qt-Anwendung müsste dazu etwa auf eine bösartige Webseite zugreifen (CVE-2022-40983, CVSS 8.8, Risiko "hoch"). Die zweite Sicherheitslücke löst unter ähnlichen Voraussetzungen einen Speicherzugriff außerhalb der Grenzen aus, der ebenfalls zum Ausführen von untergeschobenen Schadecode missbraucht werden kann (CVE-2022-43591, CVSS 8.8, hoch).

Die erste Schwachstelle haben die IT-Forscher in Qt 6.3.2 bestätigt, die zweite zudem in Qt 6.4.

Sicherheitslücken oder nur ein Bug?

In einem Blog-Beitrag auf der Cisco-Thalos-Webseite erläutern die IT-Analysten, dass die Qt-Entwickler auf die Meldung der Lücke mit folgender Stellungnahme reagierten: "Wir haben Ihren Bericht analysiert und sind zu dem Schluss gekommen, dass es sich nicht um ein Sicherheitsproblem handelt, auch, wenn es sich um einen echten Bug handelt. Die QML- und JavaScript-Unterstützung von Qt ist ausdrücklich nicht für nicht vertrauenswürdige Inhalte ausgelegt ..." Jede Anwendung, die nicht vertrauenswürdige Eingaben an QtQml weitergebe, müsse stattdessen ein Sicherheits-Advisory veröffentlichen und künftig eingehende Daten gründlich überprüfen und filtern.

Cisco-Thalos sieht die Fehler weiterhin als Sicherheitslücken und empfiehlt, die Qt-Version 6.3.2 so schnell wie möglich zu aktualisieren. Derzeit ist jedoch unklar, ob neuere Qt-Versionen die Fehler bereits korrigieren. Im Changelog zu Qt 6.4.2 findet sich beispielsweise kein Hinweis auf Änderungen in Qt-QML, ebensowenig in denen zu Qt 6.4.1. Qt 6.4 gehört zumindest bei einer der Lücken zu den verwundbaren Versionen. Vorerst scheint es daher tatsächlich an Qt-App-Entwicklern zu hängen, Aktualisierungen vorzunehmen und Eingaben vor der Verarbeitung mit Qt zu filtern.

Lesen Sie dazu auch: Themenseite zu Qt auf heise online

(dmk)