Qt5 GUI 开发的应用易受远程代码执行漏洞的影响

栏目: IT资讯 · 发布时间: 4年前

内容简介:外媒 Bleepingcomputer 报导称使用 Qt5 GUI 框架开发的应用程序容易面临远程代码执行漏洞。攻击者通过一个鲜为人知的命令行参数配置自定义协议处理程序,就可利用这个漏洞。 许多开发者并不知道当使用 Qt5 框架时...

外媒 Bleepingcomputer 报导称使用 Qt5 GUI 框架开发的应用程序容易面临远程代码执行漏洞。攻击者通过一个鲜为人知的命令行参数配置自定义协议处理程序,就可利用这个漏洞。

许多开发者并不知道当使用 Qt5 框架时,它还添加了可用于修改框架工作方式的命令行参数,例如要显示的窗口标题、窗口大小,甚至是图标。这些命令行参数会被传递给初始化 Qt 框架的函数,然后在其中对它们进行解析。

Qt5 GUI 开发的应用易受远程代码执行漏洞的影响

上文所说的鲜为人知的命令行参数是 platformpluginpath 命令,用于指定从哪个文件夹加载 Qt5 插件,可以是本地文件夹,或者是远程 UNC URL。

当将此参数提供给程序时,程序将使用已输入的路径加载程序的 Qt 插件,这些插件是由框架加载以扩展其功能的特制 DLL 程序

这意味着,如果攻击者在远程 UNC 上托管恶意 DLL 并且可以使用 platformpluginpath 参数启动程序,则他们可以远程加载 DLL 并执行它,从而进行远程代码执行。

不过由上面也能看出,攻击者要发起这样的攻击需要具备三个要素:

  1. 寻找一个基于 Qt5 框架的 GUI 应用程序
  2. 加载 Qt5 插件
  3. 注册自定义的 URI 处理程序

当然这不是说我们可以因此放松警惕,为了缓解这种类型的攻击,应用程序需要清理命令行参数,以避免远程共享。

 


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

腾讯网UED体验设计之旅

腾讯网UED体验设计之旅

任婕 等 / 电子工业出版社 / 2015-4 / 99.00元

《腾讯网UED体验设计之旅》是腾讯网UED的十年精华输出,涵盖了丰富的案例、极富冲击力的图片,以及来自腾讯网的一手经验,通过还原一系列真实案例的幕后设计故事,从用户研究、创意剖析、绘制方法、项目管理等实体案例出发,带领读者经历一场体验设计之旅。、 全书核心内容涉及网媒用户分析与研究方法、门户网站未来体验设计、H5技术在移动端打开的触控世界、手绘原创设计、改版迭代方法、文字及信息图形化设计、媒......一起来看看 《腾讯网UED体验设计之旅》 这本书的介绍吧!

随机密码生成器
随机密码生成器

多种字符组合密码

MD5 加密
MD5 加密

MD5 加密工具

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具