发布日期：2012-12-20
更新日期：2012-12-21

受影响系统：

qt-project Qt 4.x

描述：

---

CVE(CAN) ID: CVE-2012-5624

Qt是一个跨平台应用程序框架。

QT中的XMLHttpRequest对象实现提供了与浏览器中XMLHttpRequest对象相类似的功能，但是Qt 4.8.4之前版本对该对象的实现中没有很好地考虑到同源性策略。QT对该对象实现的缺陷导致实现了中间人攻击的攻击者可以重定向http请求到一个file:URL,从而造成受害者敏感信息泄露。


<*来源：Richard J. Moore （rich@kde.org）
  
  链接：http://secunia.com/advisories/51655/
        http://lists.qt-project.org/pipermail/announce/2012-November/000014.html
*>

建议：

---

厂商补丁：

qt-project
----------
qt-project已经为此发布了一个安全公告（000014）以及相应补丁:

000014：Qt Project Security Advisory: QML XmlHttpRequest    Insecure Redirection

链接：http://lists.qt-project.org/pipermail/announce/2012-November/000014.html

补丁下载：https://codereview.qt-project.org/#change,40034

浏览次数：3991
严重程度：0（网友投票）