Содержание |
Конечные собственники
«The Qt Company» - компания в сфере информационных технологий со штаб-квартирой в Норвегии.
Компания действует в области разработки ПО для разработчиков.
История
2024: Обнаружена критическая уязвимость в популярной библиотеке, которая используется в российских ОС
Разработчики библиотеки Qt из компании The Qt Company опубликовали предупреждение[1] о серьезной уязвимости в реализации протокола HTTP2, которая позволяет, в том числе, исполнять посторонний код. По классификации CVSS уязвимости присвоен уровень 9,8 из 10, то есть «критический» с возможностью удаленного исполнения кода. Разработчик выпустил исправления и рекомендует обновиться до версий 5.15.17, 6.2.11, 6.5.4 или 6.6.2, поскольку все более ранние версии библиотеки уязвимы.
Уязвимость с номером CVE-2023-51714 связана с целочисленным переполнением в коде обработки упакованных заголовков (HPack) и проявляется при получении пакетов с 4 ГБайт суммарных данных в HTTP-заголовке или после получения одного заголовка более 2 ГБайт. Обычно заголовки HTTP не очень большие, поскольку содержат только короткие команды, однако злоумышленники могут специально составить большие заголовки, чтобы вызвать целочисленное переполнение счётчика и записать данные за пределами выделенного буфера памяти. Это позволяет исполнить посторонний код. Пока эксплойтов для уязвимости замечено не было.Витрина данных НОТА ВИЗОР для налогового мониторинга
Библиотека Qt используется в различных дистрибутивах Linux в составе KDE. Она реализует базовые компоненты для графической оболочки и других элементов операционной системы. Кроме того, для библиотеки разработаны инструменты быстрой разработки приложений, которые как раз и используют разработчики отечественных мобильных операционных систем, таких как «РОСА Мобайл» и «Аврора». Однако насколько все перечисленные дистрибутивы и операционные системы подвержены этой уязвимости пока определить достаточно сложно – нужно ждать сообщений и исправлений от конкретных разработчиков.
Поскольку пока эксплойтов для уязвимости нет, то опасность использования минимальна. Рекомендуется настроить доступ с корпоративных мобильных устройств под управлением «РОСА Мобайл», «Аврора» и других мобильных устройств под управлением Linux с установленным KDE через корпоративную сеть с блокировкой больших заголовков HTTP. Кроме того, стоит контролировать сообщения от разработчиков отечественных операционных систем о выпуске обновлений для устранения данной уязвимости. Как только такие обновления будут разработаны, стоит их установить максимально быстро.
2014: Создание компании
16 сентября 2014 Digia Plc объявила о создании дочерней компании «The Qt Company» для дальнейшего самостоятельного развития фреймворка Qt.
Запущен новый сайт www.qt.io. Его цель - объединение информационных потоков коммерческого направления деятельности компании и открытого сообщества Qt Project, существовавших параллельно.