In der aktuellen Version des freien Texteditors für Windows hat der Entwickler mehrere Sicherheitsprobleme gelöst.
Angreifer können Windows-Systeme, auf denen der Open-Source-Texteditor Notepad++ installiert ist, attackieren und im schlimmsten Fall Schadcode ausführen. Eine unter anderem dagegen abgesicherte Version steht ab sofort zum Download bereit.
Bei der Umwandlung von UTF16 zu UTF8 kann es zu Speicherfehlern kommen, sodass Schadcode auf Systeme gelangen kann. Dafür muss ein Opfer aber eine präparierte Datei öffnen. Was Angreifer nach dem erfolgreichen Ausnutzen der verbleibenden Schwachstellen anstellen können, ist bislang unklar.
Sicherheitsforscher von GitHub Security Lab sind auf die Lücken gestoßen. Sie geben an, dass die Kommunikation mit dem Entwickler nicht optimal gelaufen ist und der Patch mehr als vier Monate auf sich warten ließ.
Update 11.09.2023 11:04 Uhr
UTF16-zu-UTF8-Konvertierung im Fließtext korrigiert.
Quelle; heise
Angreifer können Windows-Systeme, auf denen der Open-Source-Texteditor Notepad++ installiert ist, attackieren und im schlimmsten Fall Schadcode ausführen. Eine unter anderem dagegen abgesicherte Version steht ab sofort zum Download bereit.
Sicherheitsupdate verfügbar
Wie aus einem Beitrag des Entwicklers hervorgeht, hat er in der aktuellen Version 8.5.7 vier Sicherheitslücken (CVE-2023-40031 „hoch“, CVE-2023-40036 „mittel“, CVE-2023-40164 „mittel“, CVE-2023-40166 „mittel“) geschlossen.Bei der Umwandlung von UTF16 zu UTF8 kann es zu Speicherfehlern kommen, sodass Schadcode auf Systeme gelangen kann. Dafür muss ein Opfer aber eine präparierte Datei öffnen. Was Angreifer nach dem erfolgreichen Ausnutzen der verbleibenden Schwachstellen anstellen können, ist bislang unklar.
Sicherheitsforscher von GitHub Security Lab sind auf die Lücken gestoßen. Sie geben an, dass die Kommunikation mit dem Entwickler nicht optimal gelaufen ist und der Patch mehr als vier Monate auf sich warten ließ.
Update 11.09.2023 11:04 Uhr
UTF16-zu-UTF8-Konvertierung im Fließtext korrigiert.
Du musst Regestriert sein, um das angehängte Bild zusehen.
Quelle; heise