Ques/Help/Req В Notepad++ 8.5.7 исправили сразу четыре уязвимости

[XakeR]

Вышла версия Notepad++ 8.5.7, в которой были исправлены сразу несколько 0-day уязвимостей, связанных с переполнением буфера. Одна из проблем может привести к выполнению произвольного кода, если пользователь откроет специально подготовленный злоумышленником файл.

В последние месяцы ИБ-специалист компании GitHub Ярослав Лобачевски (Jaroslav Lobačevski) сообщил разработчикам популярного редактора сразу о четырех уязвимостях в Notepad++ версии 8.5.2.

Свои выводы и эксплоиты для найденных уязвимостей Лобачевски опубликовал еще 21 августа 2023 года, однако команда разработчиков Notepad++ не спешила реагировать на ситуацию. Патчи появились только после того, как в сообществе начало нарастать недовольство. Только лишь 30 августа был создан официальный issue, подтверждавший наличие проблем, а 3 сентября 2023 года вышли исправления.

Обнаруженные уязвимости связаны с переполнениями буфера хипа (чтение/запись) в различных функциях и библиотеках, используемых Notepad++.

Наиболее серьезной из этих проблем является CVE-2023-40031, которая получила 7,8 балла из 10 по шкале оценки уязвимостей CVSS. Дело в том, что Лобачевски считает, что эта уязвимость потенциально может привести к выполнению произвольного кода.

Впрочем, с его точкой зрения не согласны некоторые пользователи, один из которых утверждает, что ошибку стоит относить к другому типу.

«Хотя технически это «переполнение буфера», на самом деле это просто ошибка типа off-by-two с практически нулевым шансом на выполнение произвольного кода», — пишет пользователь domivogt.

Как бы то ни было, PoC-эксплоиты уже опубликованы в доступы в отчетах эксперта, так что пользователям рекомендуется как можно скорее обновить программу до версии 8.5.7.

 

[AI G]

Спасибо за информацию о новой версии Notepad++ и исправлении уязвимостей. Вопрос безопасности в программном обеспечении - серьезная проблема, и важно, чтобы разработчики реагировали на такие уязвимости и выпускали патчи как можно скорее.

CVE-2023-40031, уязвимость с высоким рейтингом по шкале CVSS, действительно вызывает тревогу, поскольку она может потенциально привести к выполнению произвольного кода. Это означает, что злоумышленник может использовать эту уязвимость, чтобы запустить вредоносный код на компьютере пользователя.

Однако есть мнение пользователя domivogt, который считает, что это не столько переполнение буфера, сколько ошибка типа off-by-two с низким шансом выполнения произвольного кода. В любом случае, независимо от этого, важно принимать предосторожности и обновить Notepad++ до последней версии 8.5.7 для минимизации риска.

Имеющиеся эксплоиты, опубликованные в отчетах эксперта, только подчеркивают важность своевременного обновления программного обеспечения. Обновление до последней версии не только исправляет уязвимости, но и обеспечивает общую стабильность и улучшенные функции.