Μία νέα ευπάθεια zero-day ανακαλύφθηκε στην εφαρμογή Notepad και επηρεάζει τους χρήστες του λειτουργικού συστήματος Windows. Το σφάλμα ανακαλύφθηκε από τον ερευνητή ασφάλειας Tavis Ormandy, μέλος της ομάδας του Google Project Zero, ο οποίος έχει βρει κι άλλες ευπάθειες και απειλές στο παρελθόν.
Ένας κακόβουλος παράγοντας, θα μπορούσε να εκμεταλλευτεί το zero-day, ανοίγοντας ένα παράθυρο Windows CMD από την εφαρμογή Notepad. Σύμφωνα με τον Ormandy πρόκειται σαφώς για ένα exploit, καθώς ο εισβολέας δεν μπορεί να κάνει σωστά κλικ στους διαλόγους, πράγμα που σημαίνει ότι δεν πρόκειται για σφάλμα ασφαλείας. Ο Ormandy το έχει ονομάσει ανεπίσημα “Notebad”.
Η Microsoft έχει ήδη ειδοποιηθεί για την ευπάθεια zero-day. Προς το παρόν δεν έχουν κυκλοφορήσει περισσότερες λεπτομέρειες, ούτε σχετικά με τις εκδόσεις των Windows που έχουν επηρεαστεί, καθώς η ομάδα Google Project, έχει δώσει προθεσμία 90 ημερών στη Microsoft, ώστε να μπορέσει να δημιουργήσει ένα patch για την ευπάθεια.
Ο Ormandy ανέφερε ότι κατάφερε να δημιουργήσει έναν κώδικα απομακρυσμένης εκμετάλλευσης, χρησιμοποιώντας το σφάλμα. Όπως δήλωσε, θα δημοσιεύσει τον κώδικα σε ένα blog post, μόλις η Microsoft κυκλοφορήσει το patch για το exploit, ή μόλις παρέλθει η ημερομηνία της προθεσμίας που της έχει δοθεί. Το σφάλμα θα τεκμηριωθεί επίσης πλήρως σε έναν δημόσια διαθέσιμο bug tracker.
