Qt XmlHttpRequest本地文件信息泄露漏洞
Qt XmlHttpRequest本地文件信息泄露漏洞
发布日期:2012-12-20
更新日期:2012-12-22
受影响系统:
qt-project Qt 4.x
描述:
--------------------------------------------------------------------------------
CVE(CAN) ID: CVE-2012-5624
Qt是一个跨平台应用程序框架。
QT中的XMLHttpRequest对象实现提供了与浏览器中XMLHttpRequest对象相类似的功能,但是Qt 4.8.4之前版本对该对象的实现中没有很好地考虑到同源性策略。QT对该对象实现的缺陷导致实现了中间人攻击的攻击者可以重定向http请求到一个file:URL,从而造成受害者敏感信息泄露。
<*来源:Richard J. Moore (rich@kde.org)
链接:http://secunia.com/advisories/51655/
http://lists.qt-project.org/pipermail/announce/2012-November/000014.html
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
qt-project
----------
qt-project已经为此发布了一个安全公告(000014)以及相应补丁:
000014:Qt Project Security Advisory: QML XmlHttpRequest Insecure Redirection
链接:http://lists.qt-project.org/pipermail/announce/2012-November/000014.html
补丁下载:https://codereview.qt-project.org/#change,40034
评论暂时关闭