Notepad++'ta rastgele kod çalıştırmaya olanak tanıyan birden fazla güvenlik açığı bulundu

 (cybersecuritynews.com)
5 puan yazan kuroneko 2023-09-05 | 2 yorum | WhatsApp'ta paylaş
  • GitLab'in güvenlik araştırmacısı Jaroslav Lobačevski, Notepad++'ın kullandığı bazı işlev ve kütüphanelerde taşma güvenlik açıkları keşfetti.
  • Notepad++ henüz bu açıklar için bir yama yayımlamadı, ancak açıklama politikası gereği güvenlik açıkları önce kamuoyuna duyuruldu.
  • Güvenlik açıkları aşağıdaki gibidir ve CVE ölçütüne göre 5.5 (orta) ile 7.8 (yüksek) arasında bir ciddiyet derecesine sahiptir.
    • CVE-2023-40031 : Utf8_16_Read içinde heap buffer write overflow
    • CVE-2023-40036 : CharDistributionAnalytic içinde global buffer read overflow
    • CVE-2023-40164 : nsCodingStateMachine içinde global buffer read overflow
    • CVE-2023-40166 : FileManager içinde heap buffer read overflow
  • Güvenlik açıklarına ilişkin kavram kanıtı ve örnek kodları içeren ayrıntılı rapor da birlikte yayımlandı.

İlgili okumalar

2 yorum

 
kuroneko 2023-09-05

Bunun mutlaka keyfi kod çalıştırmanın mümkün olduğu anlamına gelmediği, daha çok böyle bir ihtimal olduğu söyleniyor gibi görünüyor.
İstismar etmenin zor olacağı yönünde görüşler var gibi görünüyor.

Yine de herhangi bir güncelleme olmaması garip.
 
kuroneko 2023-09-05

Yapay zeka özeti

  • amiga386: Bir hatanın bulunduğunu, ancak istismar edilmesinin zor göründüğünü belirtti. Geliştiricinin bu sorunu fark edip düzeltmesini umuyor.
  • boxed: Açıklanma tarihine bakıldığında düzeltmenin fiilen uygulanmadığına dikkat çekiyor.
  • esrauch: Yalnızca kötü amaçlı bir dosyayı açmanın bile istismarı tetikleyebileceği için bu sorunun düşünüldüğünden daha ciddi olduğunu savunuyor.
  • layer8: İstismarın e-posta eki üzerinden taşınabileceğini, bu yüzden sadece kötü amaçlı bir dosyayı açmanın yeterli olduğunu söylüyor.
  • inferiorhuman: Windows API'nin varsayılan olarak UTF-8 yerine UTF-16 kullandığına dair bağlam sağlıyor.
  • Fulgen: Notepad++'ın kendi uygulaması yerine UTF-16'yı UTF-8'e dönüştürmek için Windows API'yi kullanabileceğini öneriyor.
  • PrimeMcFly: Bu tür sorunları göz önünde bulundurarak önce kendi temel metin düzenleyicisini yazmayı düşünmekten söz ediyor.
  • nijave: Notepad++'ın Visual Studio Code gibi hafif editörlere kıyasla geride kalmasından duyduğu hayal kırıklığını dile getiriyor.
  • baal80spam: Algılanan hafifliğe göre metin editörlerini sıralayarak Notepad2 ile VS Code arasına Notepad++'ı yerleştiriyor.
  • currysausage: Notepad2, Notepad2-mod ve Notepad3 gibi Notepad++'a alternatif hafif editörleri tartışıyor.