Notepad++'ta rastgele kod çalıştırmaya olanak tanıyan birden fazla güvenlik açığı bulundu
(cybersecuritynews.com)- GitLab'in güvenlik araştırmacısı Jaroslav Lobačevski, Notepad++'ın kullandığı bazı işlev ve kütüphanelerde taşma güvenlik açıkları keşfetti.
- Notepad++ henüz bu açıklar için bir yama yayımlamadı, ancak açıklama politikası gereği güvenlik açıkları önce kamuoyuna duyuruldu.
- Güvenlik açıkları aşağıdaki gibidir ve CVE ölçütüne göre 5.5 (orta) ile 7.8 (yüksek) arasında bir ciddiyet derecesine sahiptir.
- CVE-2023-40031 : Utf8_16_Read içinde heap buffer write overflow
- CVE-2023-40036 : CharDistributionAnalytic içinde global buffer read overflow
- CVE-2023-40164 : nsCodingStateMachine içinde global buffer read overflow
- CVE-2023-40166 : FileManager içinde heap buffer read overflow
- Güvenlik açıklarına ilişkin kavram kanıtı ve örnek kodları içeren ayrıntılı rapor da birlikte yayımlandı.
2 yorum
Bunun mutlaka keyfi kod çalıştırmanın mümkün olduğu anlamına gelmediği, daha çok böyle bir ihtimal olduğu söyleniyor gibi görünüyor.
İstismar etmenin zor olacağı yönünde görüşler var gibi görünüyor.
Yine de herhangi bir güncelleme olmaması garip.
Yapay zeka özeti