Qt-QML: Angreifer kann Befehle ausführen
Die Qt-Bibliothek ermöglicht die plattformübergreifende Entwicklung von Applikationen. Qt-QML ist eine darauf basierende Markup Programmiersprache, die das Entwickeln von Oberflächen mit an JSON angelehnten Strukturen ermöglicht. Forscher von Cisco Thalos haben in Qt-QML ein kritische Sicherheitslücken entdeckt. Ein Angreifer kann dadurch Befehle auf dem betroffenen System ausführen.
Einer der Fehler in Qt-QML tritt im Speichermanagement des Codes auf, weil bestimmter Javascript-Code einen Integer-Überlauf bei Speicher-Allokierung auslösen kann. Eine solche Attacke ist möglich, falls das Opfer mit einer Qt-Anwendung auf eine Webseite zugreifen und dort der entsprechende Javascript-Code ausgeführt wird. Dadurch kann der Angreifer dann seine Befehle ausführen.
Der Beitrag Qt-QML: Angreifer kann Befehle ausführen erschien zuerst auf Linux-Magazin.