CERTA : Vulnérabilité dans Qt
janvier 2008 par CERT-FR
1 Risque
Contournement de la politique de sécurité.
2 Systèmes affectés
Qt versions 4.3.2 et antérieures.
3 Résumé
Une vulnérabilité de Qt permet à un utilisateur malveillant de contourner la
politique de sécurité.
4 Description
Qt est une bibliothèque logicielle multi-système.
Une vulnérabilité dans QSslSocket permet d’outrepasser la vérification des
certificats. L’exploitation de ce défaut permet à un utilisateur malveillant
d’utiliser des certificats contrefaits et de contourner la politique de
sécurité.
5 Solution
La version 4.3.3 corrige ce problème. Se référer au bulletin de sécurité de
l’éditeur pour l’obtention des correctifs (cf. section Documentation).
6 Documentation
* Annonce de l’éditeur Trolltech du 21 décembre 2007 :
http://trolltech.com/company/newsroom/announcements/press.2007-12-21.21825672220
* Référence CVE CVE-2007-5965 :