Notepad++ 存在多个安全漏洞允许执行任意代码
免费开源的代码编辑器 Notepad++ 曝出多个缓冲溢出漏洞,允许攻击者执行任意代码,风险评分从中微到高危不等。
据悉,这些安全漏洞存在于该编辑器所使用的部分函数和库中,具体是存在堆缓冲区写溢出和堆缓冲区读取溢出漏洞。
根据安全人员关于漏洞发布的时间线开源,这些漏洞于2023年04月28日在 NotePad++ V8.5.2 被发现并向厂商报告。
但无论是 Notepad++ 厂商从2023年05月15日发布的V8.5.3、还是2023年06月18日发布的V8.5.4均未修复这些漏洞。
2023年07月08日至2023年07月17日,安全人员与相关厂商先后多次取得了联系尝试解决问题,但部分漏洞依旧存在。
2023年08月09日,未修复漏洞的NotePad++ V8.55发布;2023年08月15日,未修复漏洞的NotePad++ V8.5.6发布。
2023年08月21日,根据相关漏洞披露规则和惯例,安全人员向大众公布了这些漏洞和概念验证:
CVE-2023-40031
CVE-2023-40036
CVE-2023-40164
CVE-2023-40166
由于立场原因和笔者比较懒,这里不翻译关于这些漏洞的细节了,相关链接在文章底部,愿意研究的朋友自己看看。
虽然这个软件设计挺好,笔者之前也比较喜欢使用,但后来其某开发者经常在官网夹带台独言论,笔者直接弃用了。
图源 securitylab.github
最后猜测一下为何厂商迟迟不愿解决漏洞,我猜厂商考虑NotePad++是个本地编辑器,这些远程执行漏洞无伤大雅。
当然,可能也有人选择使用 NppFTP 插件实现服务器远程连接,但这种人应该算是少数,当然,上述都是笔者猜测。
https://cybersecuritynews.com/multiple-notepad-flaw/
https://securitylab.github.com/advisories/GHSL-2023-092_Notepad__/#resources