Выпущена версия Notepad++ 8.5.7, в которой исправлено несколько уязвимостей, связанных с переполнением буфера, причем одна из них отмечена как потенциально приводящая к выполнению кода путем обмана пользователей при открытии специально созданных файлов.
Notepad++ - популярный бесплатный редактор исходного кода, поддерживающий многие языки программирования, расширяемый с помощью подключаемых модулей и обладающий такими функциями повышения производительности, как многовкладочное редактирование и подсветка синтаксиса.
Исследователь безопасности GitHub Ярослав Лобачевский сообщил разработчикам об уязвимостях в Notepad++ версии 8.5.2 в течение последних нескольких месяцев.
В публичном бюллетене исследователя также были опубликованы концептуальные эксплойты для этих уязвимостей, поэтому пользователям необходимо как можно скорее обновить программу.
Недостатки безопасности в Notepad++
Обнаруженные уязвимости связаны с переполнениями буфера записи и чтения в различных функциях и библиотеках, используемых Notepad++.
Вот краткое описание четырех уязвимостей, обнаруженных исследователем GitHub:
- CVE-2023-40031 : Переполнение буфера в функции Utf8_16_Read::convert из-за неверных предположений о преобразовании кодировки UTF16 в UTF8.
- CVE-2023-40036 : Глобальное переполнение при чтении буфера в CharDistributionAnalysis::HandleOneChar, вызванное порядком индекса массива, основанным на размере буфера, что усугубляется использованием библиотеки uchardet.
- CVE-2023-40164 : Глобальное переполнение при чтении буфера в nsCodingStateMachine::NextState. Это связано со специфической версией библиотеки uchardet, используемой Notepad++, уязвимой из-за ее зависимости от размера буфера charLenTable.
- CVE-2023-40166 : Переполнение буфера чтения кучи происходит в FileManager::detectLanguageFromTextBegining из-за отсутствия проверки длины буфера при определении языка файла.
Наиболее серьезным из этих дефектов является CVE-2023-40031, которому присвоен рейтинг CVSS v3 7.8 (высокий), потенциально приводящий к выполнению произвольного кода.
Однако один из пользователей оспаривает возможность выполнения кода с помощью этого дефекта из-за типа ошибки.
"Хотя технически это "переполнение буфера", на самом деле это всего лишь ошибка "off-by-two" с практически нулевым шансом на выполнение произвольного кода", - говорится в комментарии к проблеме на GitHub, открытой по поводу дефектов.
Остальные три проблемы являются проблемами средней серьезности (5.5), которые, по словам Лобачевского, могут быть использованы для утечки информации о распределении внутренней памяти.
Грядущее исправление
Несмотря на то, что блог Лобачевского и доказательство концепции эксплойта были опубликованы 21 августа 2023 года, команда разработчиков Notepad++ не спешила реагировать на ситуацию до тех пор, пока сообщество пользователей не потребовало ее решения.
В конце концов, 30 августа 2023 года был создан публичный вопрос, подтверждающий наличие проблемы, а 3 сентября 2023 года исправления четырех дефектов попали в основную ветку кода.
В настоящее время выпущена версия Notepad++ 8.5.7, которую следует установить для устранения четырех уязвимостей и других ошибок, перечисленных в журнале изменений.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!