セキュリティアドバイザリー: BMP, ICO, GIF 画像処理の脆弱性

BMP, ICO, GIF の画像処理に関するセキュリティアドバイザリーが公開されています。Qt 5.4.1 を含むすべての Qt に影響します。

不正な BMP, ICO あるいは GIF ファイルを読み込んだ際に、DoS 脆弱性またはバッファオーバーフローが発生します。後者の場合は任意のコードが実行される可能性があります。アプリケーション側で可能な対応はなく、リリースを待って Qt 5.5 を使用するか、以下のパッチを当てた Qt を使用する必要があります。Qt 4.8.7 と 5.4.2 はこれらのパッチを適用してリリースされます。

CVE-2015-1858 BMP vulnerability
CVE-2015-1859 ICO vulnerability
CVE-2015-1860 GIF vulnerability

Qt Installer Framework 2.0 リリース

Qt Installer Framework 2.0.0 がリリースされました。

Qt Installer Framework は Qt のバイナリパッケージのインストーラを作成するのに使われているフレームワークで、
Qt を用いてインストーラを作成することを目的としています。

このバージョンでは多数のバグ修正のかわりに Qt 4系への対応が(ようやく)打ち切られました。Qt IFW 2.0 には Qt 5.4 以降が必要となります。
基本的には 1.x 系と互換性は維持しているそうです。

Qt Creator 3.4 ベータ版リリース

Qt Creator 3.4 beta1 がリリースされました。

新しいスタイルのシグナル・スロットへの対応や Android の 64bit ツールチェインへの対応などやバグフィックスが行われています。

また、商用版では Qt TestQt Quick tests を用いたユニットテストへの対応などが追加されているようです。

Qt Creator 3.3.2 リリース

Qt Creator 3.3.2 がリリースされました。

Qt Creator 3.3.1 がリリースされたばかりですが、以下の2点のみが修正されています。

  • OS X で Clang コードモデルプラグインの読み込みに失敗する問題(QTCREATORBUG-14038)
  • Qt Quick エミュレーションレイヤーがクラッシュする問題(QTCREATORBUG-14031)

セキュリティアドバイザリー: BMP 画像処理の DoS 脆弱性

BMP 画像処理に関するセキュリティアドバイザリーが公開されています。Qt 5.4.1 を含むすべての Qt に影響します。

特別に加工された BMP ファイルを読み込んだ際に、Qt アプリケーションがクラッシュします。アプリケーション側で可能な対応はなく、リリースを待って Qt 5.5 を使用するか、以下のパッチを当てた Qt を使用する必要があります。

Title:        DoS vulnerability in the BMP image handler
Risk Rating:  Low
CVE:          CVE-2015-0295
Platforms:    All
Modules:      QtBase
Versions:     All versions before 5.5
Author:       Richard J. Moore 
Date:         22 February 2015

Qt のあれこれ (仮)