A Notepad++ 8.5.7-es verziója több puffer túlcsordulásos nulladik nap javításával jelent meg, amelyek közül az egyik potenciálisan kódfuttatáshoz vezethet, ha a felhasználókat speciálisan kialakított fájlok megnyitására veszik rá a rosszindulatú támadók.
A Notepad++ egy ingyenes, nyílt forráskódú szövegszerkesztő és forráskód-szerkesztő program, amely kifejezetten a Windows operációs rendszerre készült. A programot a programozók és fejlesztők gyakran használják szöveges fájlok szerkesztésére, kódolásra és formázásra. A program, amely számos programozási nyelvet támogat, bővítményekkel bővíthető, és olyan termelékenységnövelő funkciókat kínál, mint a több sávos szerkesztés és a szintaxis-kiemelés.
Jaroslav Lobačevski, a GitHub biztonsági kutatója az elmúlt hónapokban jelentette a Notepad++ 8.5.2-es verziójában található sebezhetőségeket a fejlesztőknek.
Biztonsági hibák a Notepad++-ban
A felfedezett sebezhetőségek a Notepad++ által használt különböző függvényekben és könyvtárakban található heap-puffer írási és olvasási túlcsordulásokat tartalmaznak.
Íme a GitHub kutatója által felfedezett négy hiba összefoglalója:
CVE-2023-40031: Puffer túlcsordulás az Utf8_16_Read::convert függvényben az UTF16-ról UTF8 kódolásra történő konverzióra vonatkozó helytelen feltételezések miatt.
CVE-2023-40036: Globális pufferolvasási túlcsordulás a CharDistributionAnalysis::HandleOneChar függvényben, amit a puffer méretén alapuló tömbindex sorrend okoz, amit súlyosbít az uchardet könyvtár használata.
CVE-2023-40164: Globális pufferolvasási túlcsordulás az nsCodingStateMachine::NextState-ban. Ez a Notepad++ által használt uchardet könyvtár egy speciális verziójához kapcsolódik, amely a charLenTable puffer méretétől való függősége miatt sebezhető.
CVE-2023-40166: Heap puffer olvasási túlcsordulás lép fel a FileManager::detectLanguageFromTextBegining-ben, mivel a fájl nyelvének felismerése során nem ellenőrzi a puffer hosszát.
E hibák közül a legsúlyosabb a CVE-2023-40031, amely 7.8-as (magas) CVSS v3 minősítéssel rendelkezik, és potenciálisan tetszőleges kódfuttatáshoz vezethet.
A Notepad++ 8.5.7 megjelenésével, letöltésével, és telepítésével ezek a hibák (és továbbiak) javításra kerültek.