セキュリティ

QLabel と類似クラスにおけるセキュリティの考察

Published Saturday October 15th, 2011 | Leave a comment
Posted in Qt | Tags:

この記事は Qt Blog の “Security considerations regarding QLabel and friends” を翻訳したものです。 執筆: Peter Hartmann, 2011年10月4日 この記事は [qt QLabel] およびその類似クラスへの入力を常にサニタイズすることに関する注意喚起です。 概要: 文字列による情報を表示するために [qt QLabel] を作成する場合、そのクラスではフォーマットがプレインテキストかリッチテキストかを推測しようとすることに注意してください。特に Web から読み込んだデータなど、外部から取得した文字列をプレインテキストとして表示したい場合、[qt ” setTextFormat l=qlabel p=textFormat] で明示的にフォーマットを指定したり、[qt Qt escape()] で入力をエスケープすることを推奨します。 詳細: QLabel(や [qt QMessageBox] 等の類似クラス)へ入力する文字列は巧妙に作成することで、そのすべてを表示させないようにすることができます。 この記事を書くきっかけとなったのはいくつかの Qt / KDE アプリケーションでの脆弱性です。 それらの脆弱性ではラベルに偽の情報を表示させて欺くことができます。 CVE-2011-3365: KSSL に影響 CVE-2011-3366: Rekonq に影響 CVE-2011-3367: Arora に影響 例示: […]

Read More

DigiNotar 社のセキュリティ問題の Qt への影響 (続報)

Published Saturday September 10th, 2011 | Leave a comment
Posted in Qt | Tags: ,

この記事は Qt Blog の “What the DigiNotar security breach means for Qt users (continued)” を翻訳したものです。 執筆: Peter Hartmann, 2011年9月7日 この記事は先日の「DigiNotar 社のセキュリティ問題の Qt への影響」の続報です。 必要な対処 DigiNotar 社の先日の声明 に反して、すべての DigiNotar 社の中間証明書に 今回の攻撃が影響する 可能性があることが分かりました。そのため、DigiNotar 社のルート証明書をブラックリストに載せるだけでは充分ではありません。それらの中間証明書にはクロス認証されているものもあり、それらに DigiNotar 社のルート証明書は関与していないため、中間 CA 証明書もブラックリストに載せる必要があります。 以下のパッチですべての DigiNotar 社の中間およびルート証明書をブラックリストに載せることができます。 Qt 4.7.3 と 4.7.4 用: (あるいは、それ以前のバージョンに Comodo 社の偽造証明書をブラックリストに載せるパッチを当てている場合(「セキュリティ勧告: 偽の証明書」を参照)): blacklist-diginotar-certs.diff Qt 4.7.0 と 4.7.1, 4.7.2 用: […]

Read More

DigiNotar 社のセキュリティ問題の Qt への影響

Published Saturday September 10th, 2011 | Leave a comment
Posted in Qt | Tags: ,

この記事は Qt Blog の “What the DigiNotar security breach means for Qt users” を翻訳したものです。 執筆: Peter Hartmann, 2011年9月2日 [この続報を記載した記事「DigiNotar 社のセキュリティ問題の Qt への影響 (続報)」も合わせて参照してください] 先日、オランダの認証局である DigiNotar 社のセキュリティ問題に関する多数のニュースが流れました。この問題に関しては SANS Internet Storm Center が 詳しい説明 を公開しています。 問題の概略 7月19日 DigiNotar 社のインフラに侵入があったことが発覚しました(情報源)。 Gmail に対するものなどいくつかの偽の証明書が作成され、DigiNotar 社の中間 CA 証明書によって認証されていました。 8月28日 イランのインターネットユーザが Google Chrome が Gmail に対する証明書を信用しないことに気が付きました(情報源)。 Chrome が警告した理由はその証明書が不正であるためではなく(ハッカーは DigiNotar 社に侵入して正規の証明書を作成したので)、Chrome が “certificate […]

Read More
Get started today with Qt Download now