Специалист по информационной безопасности GitLab проверил код популярного текстового редактора Notepad++ (версию 8.5.2) на возможность переполнения буфера и обнаружил четыре уязвимости.
- CVE-2023-40031 (CVSS 7,8) — переполнение буфера в функции конвертации кодировки UTF
- CVE-2023-40036 (CVSS 5,5) — переполнение глобального буфера в модуле анализа символов
- CVE-2023-40164 (CVSS 7,8) — переполнение глобального буфера в библиотеке uchardet
- CVE-2023-40166 (CVSS 7,8) — переполнение буфера при определении языка открываемого файла
Notepad++ — свободный кроссплатформенный текстовый редактор с открытым исходным кодом с подсветкой синтаксиса, разметки, а также языков описания аппаратуры VHDL и Verilog.
Уязвимости переполнения буфера позволяют злоумышленнику подготовить специальный текстовый файл, при открытии которого можно получить полный контроль над системой.
Прошло 4 месяца, релиз Notepad++ 8.5.6 так и не содержит исправлений. Так что уязвимости нулевого дня. Не открывайте этим редактором незнакомые файлы.
Ссылки
https://www.securitylab.ru/news/541317.php
UPD
Вышел Notepad++ v8.5.7 с патчами.
