Qt Company

Компания

Qt Company

Собственники:
Digia Plc - 100%
120px

Конечные собственники

+ Digia Plc

«The Qt Company» - компания в сфере информационных технологий со штаб-квартирой в Норвегии.

Компания действует в области разработки ПО для разработчиков.

История

2024: Обнаружена критическая уязвимость в популярной библиотеке, которая используется в российских ОС

Разработчики библиотеки Qt из компании The Qt Company опубликовали предупреждение[1] о серьезной уязвимости в реализации протокола HTTP2, которая позволяет, в том числе, исполнять посторонний код. По классификации CVSS уязвимости присвоен уровень 9,8 из 10, то есть «критический» с возможностью удаленного исполнения кода. Разработчик выпустил исправления и рекомендует обновиться до версий 5.15.17, 6.2.11, 6.5.4 или 6.6.2, поскольку все более ранние версии библиотеки уязвимы.

Уязвимость с номером CVE-2023-51714 связана с целочисленным переполнением в коде обработки упакованных заголовков (HPack) и проявляется при получении пакетов с 4 ГБайт суммарных данных в HTTP-заголовке или после получения одного заголовка более 2 ГБайт. Обычно заголовки HTTP не очень большие, поскольку содержат только короткие команды, однако злоумышленники могут специально составить большие заголовки, чтобы вызвать целочисленное переполнение счётчика и записать данные за пределами выделенного буфера памяти. Это позволяет исполнить посторонний код. Пока эксплойтов для уязвимости замечено не было.

Библиотека Qt используется в различных дистрибутивах Linux в составе KDE. Она реализует базовые компоненты для графической оболочки и других элементов операционной системы. Кроме того, для библиотеки разработаны инструменты быстрой разработки приложений, которые как раз и используют разработчики отечественных мобильных операционных систем, таких как «РОСА Мобайл» и «Аврора». Однако насколько все перечисленные дистрибутивы и операционные системы подвержены этой уязвимости пока определить достаточно сложно – нужно ждать сообщений и исправлений от конкретных разработчиков.

Схема компонентов библиотеки Qt

Поскольку пока эксплойтов для уязвимости нет, то опасность использования минимальна. Рекомендуется настроить доступ с корпоративных мобильных устройств под управлением «РОСА Мобайл», «Аврора» и других мобильных устройств под управлением Linux с установленным KDE через корпоративную сеть с блокировкой больших заголовков HTTP. Кроме того, стоит контролировать сообщения от разработчиков отечественных операционных систем о выпуске обновлений для устранения данной уязвимости. Как только такие обновления будут разработаны, стоит их установить максимально быстро.

2014: Создание компании

16 сентября 2014 Digia Plc объявила о создании дочерней компании «The Qt Company» для дальнейшего самостоятельного развития фреймворка Qt.

Запущен новый сайт www.qt.io. Его цель - объединение информационных потоков коммерческого направления деятельности компании и открытого сообщества Qt Project, существовавших параллельно.

Примечания


ПРОДУКТ (1) СМ. ТАКЖЕ (1)