Qt修复SVG模块中两个高危漏洞(CVE-2025-10728与CVE-2025-10729)
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
Qt集团发布安全公告,修复了SVG模块中的两个高危漏洞(CVE-2025-10728和CVE-2025-10729),均评分9.4。第一个漏洞导致拒绝服务,第二个可能引发远程代码执行。Qt建议开发者升级至6.9.3或6.8.5版本,并避免渲染不可信的SVG内容。
🎯
关键要点
-
Qt集团发布安全公告,修复了SVG模块中的两个高危漏洞(CVE-2025-10728和CVE-2025-10729),均评分9.4。
-
CVE-2025-10728漏洞导致拒绝服务(DoS),影响Qt 6.7.0至6.8.4和6.9.0至6.9.2版本。
-
CVE-2025-10729漏洞可能引发远程代码执行(RCE),同样影响Qt 6.7.0至6.8.4和6.9.0至6.9.2版本。
-
Qt建议开发者升级至6.9.3或6.8.5版本,并避免渲染不可信的SVG内容。
-
Qt SVG模块广泛应用于各类软件生态系统,潜在攻击面显著扩大。
-
攻击者可利用这些漏洞以受影响应用程序的权限执行任意代码。
-
开发者应检查第三方依赖项,确认是否包含存在漏洞的模块。
❓
延伸问答
CVE-2025-10728和CVE-2025-10729漏洞的危害是什么?
CVE-2025-10728导致拒绝服务(DoS),而CVE-2025-10729可能引发远程代码执行(RCE)。
哪些Qt版本受到这两个漏洞的影响?
受影响的版本包括Qt 6.7.0至6.8.4和6.9.0至6.9.2。
Qt建议开发者采取哪些措施来应对这些漏洞?
Qt建议开发者升级至6.9.3或6.8.5版本,并避免渲染不可信的SVG内容。
CVE-2025-10728漏洞是如何导致拒绝服务的?
该漏洞通过递归渲染恶意SVG文件中的<pattern>元素,触发栈溢出,最终导致拒绝服务。
为什么SVG模块的漏洞会对嵌入式设备构成威胁?
这些漏洞影响Qt图形渲染软件的稳定性,对处理不可信SVG资源的用户界面框架构成可靠性威胁。
Qt SVG模块的广泛应用对安全性有什么影响?
Qt SVG模块广泛应用于各类软件生态系统,扩大了潜在攻击面,增加了供应链漏洞的风险。
➡️
