Risque
- Injection de code indirecte (cross site scripting)
Systèmes affectés
- Qt versions antérieures à 3.3.8 ;
- Qt versions antérieures à 4.2.3.
Résumé
Une vulnérabilité présente dans Qt permettrait de réaliser des attaques par injection de code indirecte (Cross Site Scripting).
Description
Une vulnérabilité présente dans la fonction de Qt permettant le décodage des chaînes de caractères UTF-8 permettrait à un utilisateur malintentionné de réaliser des attaques par injection de code indirecte (Cross Site Scripting) par le biais d'une suite de caractères UTF-8 spécialement conçue.
Solution
Les versions 3.3.8 et 4.2.3 de Qt corrigent le problème. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Trolltech du 03 avril 2007 http://www.trolltech.com/company/newsroom/announcements/press.2007-03-30.9172215350
- Bulletin de sécurité Debian DSA-1292 du 15 mai 2007 : http://www.debian.org/security/2007/dsa-1292
- Bulletin de sécurité Mandriva MDKSA-2007:074 du 03 avril 2007 : http://www.mandriva.com/security/advisories?name=MDKSA-2007:074
- Bulletin de sécurité Mandriva MDKSA-2007:075 du 03 avril 2007 : http://www.mandriva.com/security/advisories?name=MDKSA-2007:075
- Bulletin de sécurité Mandriva MDKSA-2007:076 du 03 avril 2007 : http://www.mandriva.com/security/advisories?name=MDKSA-2007:076
- Bulletin de sécurité SuSE SUSE-SR:2007:006 du 13 avril 2007 : http://lists.opensuse.org/opensuse-security-announce/2007-Apr/0002.html
- Bulletin de sécurité Ubuntu USN-452-1 du 11 avril 2007 : http://www.ubuntu.com/usn/usn-452-1
- Référence CVE CVE-2007-0242 https://www.cve.org/CVERecord?id=CVE-2007-0242