Το Notepad++ version 8.5.7 κυκλοφόρησε και διορθώνει διάφορες buffer overflow zero-day ευπάθειες. Μία από αυτές θα μπορούσε να οδηγήσει και σε εκτέλεση κακόβουλου κώδικα, εξαπατώντας τους χρήστες να ανοίξουν ειδικά δημιουργημένα αρχεία.
Το Notepad++ είναι ένα δημοφιλές δωρεάν πρόγραμμα επεξεργασίας κειμένου και source code που υποστηρίζει πολλές γλώσσες προγραμματισμού. Οι δυνατότητές του μπορούν να επεκταθούν μέσω plugins και υπάρχουν διάφορες δυνατότητες βελτίωσης της παραγωγικότητας.
Ο αναλυτής ασφάλειας του GitHub, Jaroslav Lobačevski, ανακάλυψε τις zero-day ευπάθειες στην έκδοση 8.5.2 του Notepad++ και τις ανέφερε τον περασμένο μήνα, ώστε να κυκλοφορήσει μια ενημερωμένη έκδοση που θα τις διορθώσει.
Δείτε επίσης: Η Cisco προειδοποιεί για την εκμετάλλευση VPN zero-day από ομάδες ransomware
Στην έκθεση που δημοσίευσε ο ερευνητής υπάρχουν και Proof of concept exploits. Επομένως, οι χρήστες πρέπει να ενημερώσουν το πρόγραμμα το συντομότερο δυνατό.
Notepad++ ευπάθειες
Οι ευπάθειες που ανακαλύφθηκαν, περιλαμβάνουν “heap buffer write και read overflows” σε διάφορα functions και βιβλιοθήκες που χρησιμοποιούνται από το Notepad++.
CVE-2023-40031: Buffer overflow στο Utf8_16_Read::convert function.
CVE-2023-40036: Global buffer read overflow στο CharDistributionAnalysis::HandleOneChar.
CVE-2023-40164: Global buffer read overflow στο nsCodingStateMachine::NextState.
CVE-2023-40166: Heap buffer read overflow στο FileManager::detectLanguageFromTextBegining.
Η πιο σοβαρή από τις τέσσερις ευπάθειες είναι η CVE-2023-40031, με βαθμολογία 7,8 στην κλίμακα σοβαρότητα ευπαθειών CVSS v3 και ενδεχομένως οδηγεί σε εκτέλεση κώδικα.
Ωστόσο, ένας χρήστης αμφισβητεί ότι θα ήταν δυνατή η εκτέλεση κώδικα λόγω του είδους του σφάλματος.
Δείτε επίσης: Apache RocketMQ: Η CISA προειδοποιεί για κρίσιμο σφάλμα
“Αν και είναι τεχνικά “buffer overflow” είναι στην πραγματικότητα μόνο ένα off-by-two bug, που σημαίνει ότι υπάρχουν μηδενικές πιθανότητες να επιτραπεί η εκτέλεση κώδικα“, αναφέρει ένα σχόλιο σε ένα GitHub issue που ανοίχτηκε σχετικά με αυτές τις ευπάθειες.
Τα άλλα τρία ζητήματα είναι προβλήματα μέτριας σοβαρότητας (5,5) που ο Lobačevski λέει ότι μπορεί να αξιοποιηθούν για τη διαρροή πληροφοριών εσωτερικής μνήμης.
Αξίζει να σημειωθεί ότι ο Lobačevski ενημέρωσε για την ύπαρξη των zero-day ευπαθειών και δημοσίευσε Proof of concept exploits στις 21 Αυγούστου 2023. Αλλά οι προγραμματιστές του Notepad++ δεν ανταποκρίθηκαν άμεσα. Τελικά, στις 30 Αυγούστου 2023, δημιουργήθηκε ένα public issue για την ενημέρωση για το πρόβλημα και οι διορθώσεις μπήκαν στο code branch στις 3 Σεπτεμβρίου 2023. Το Notepad++ 8.5.7 έχει πλέον κυκλοφορήσει.
Δείτε επίσης: ASUS routers ευάλωτα σε κρίσιμες ευπάθειες
Οι ευπάθειες του Notepad++ είναι μια σοβαρή απειλή για την ασφάλεια των συστημάτων των χρηστών. Είναι απαραίτητο για όλους τους χρήστες του Notepad++ να ενημερώσουν το λογισμικό τους στην τελευταία έκδοση, 8.5.7, η οποία διορθώνει αυτές και άλλες ευπάθειες.
Πηγή: www.bleepingcomputer.com