首页 网络安全 正文
  • 本文约826字,阅读需4分钟
  • 1338
  • 0

Notepad++ 存在多个安全漏洞允许执行任意代码

摘要

免费开源的代码编辑器 Notepad++ 曝出多个缓冲溢出漏洞,允许攻击者执行任意代码,风险评分从中微到高危不等。

免费开源的代码编辑器 Notepad++ 曝出多个缓冲溢出漏洞,允许攻击者执行任意代码,风险评分从中微到高危不等。

据悉,这些安全漏洞存在于该编辑器所使用的部分函数和库中,具体是存在堆缓冲区写溢出和堆缓冲区读取溢出漏洞。

根据安全人员关于漏洞发布的时间线开源,这些漏洞于2023年04月28日在 NotePad++ V8.5.2 被发现并向厂商报告。

但无论是 Notepad++ 厂商从2023年05月15日发布的V8.5.3、还是2023年06月18日发布的V8.5.4均未修复这些漏洞。

2023年07月08日至2023年07月17日,安全人员与相关厂商先后多次取得了联系尝试解决问题,但部分漏洞依旧存在。

2023年08月09日,未修复漏洞的NotePad++ V8.55发布;2023年08月15日,未修复漏洞的NotePad++ V8.5.6发布。

2023年08月21日,根据相关漏洞披露规则和惯例,安全人员向大众公布了这些漏洞和概念验证:

CVE-2023-40031

CVE-2023-40036

CVE-2023-40164

CVE-2023-40166

由于立场原因和笔者比较懒,这里不翻译关于这些漏洞的细节了,相关链接在文章底部,愿意研究的朋友自己看看。

虽然这个软件设计挺好,笔者之前也比较喜欢使用,但后来其某开发者经常在官网夹带台独言论,笔者直接弃用了。

Notepad++ 存在多个安全漏洞允许执行任意代码

图源 securitylab.github

最后猜测一下为何厂商迟迟不愿解决漏洞,我猜厂商考虑NotePad++是个本地编辑器,这些远程执行漏洞无伤大雅。

当然,可能也有人选择使用 NppFTP 插件实现服务器远程连接,但这种人应该算是少数,当然,上述都是笔者猜测。

https://cybersecuritynews.com/multiple-notepad-flaw/

https://securitylab.github.com/advisories/GHSL-2023-092_Notepad__/#resources

标签:网络安全
评论
更换验证码
友情链接