原创

【漏洞】请抓紧卸载Notepad++(npp)

前言

请抓紧卸载Notepad++,这个漏洞非常危险,特别是对于生产安装了Npp的机器。

详细内容

最近有报道指出,开源代码编辑器Notepad++存在多个缓冲溢出漏洞,可能允许攻击者执行任意代码。这些漏洞的风险评分从中微到高危不等。

据了解,这些安全漏洞存在于Notepad++所使用的某些函数和库中,具体包括堆缓冲区写溢出和堆缓冲区读取溢出漏洞。

根据安全人员提供的时间线,这些漏洞于2023年4月28日被发现,并向Notepad++的厂商进行了报告。

然而,无论是在2023年5月15日发布的V8.5.3版本,还是在2023年6月18日发布的V8.5.4版本中,这些漏洞均未得到修复。

尽管安全人员在2023年7月8日至7月17日期间多次联系相关厂商并尝试解决问题,但部分漏洞仍然存在。

最终,在2023年8月9日发布的Notepad++ V8.55以及2023年8月15日发布的Notepad++ V8.5.6中,这些漏洞依然没有得到修复。

根据相关的漏洞披露规则和惯例,安全人员在2023年8月21日向公众披露了这些漏洞及其概念验证。其中涉及的漏洞包括:

  • CVE-2023-40031
  • CVE-2023-40036
  • CVE-2023-40164
  • CVE-2023-40166

披露时间线

2023-04-28: Reported GHSL-2023-092 with a fix suggestion to don.h at free.fr.
2023-05-06: Reception confirmed.
2023-05-08: Created private security advisory for GHSL-2023-102 and GHSL-2023-103 with a fix suggestion.
2023-05-11: Created private security advisory for GHSL-2023-112 with a fix suggestion.
2023-05-15: Notepad++ v8.5.3 without the fixes was released.
2023-06-05: Asked for an update.
2023-06-18: Notepad++ v8.5.4 without the fixes was released.
2023-07-01/02: Created private pull requests.
2023-07-04: Notified the maintainer that all reports contain a fix suggestion and for convenience the private pull requests were created.
2023-07-08: The maintainer asked for a binary blob for the GHSL-2023-112 PoC instead of the Python script.
2023-07-08: The maintainer says v8.5.4 doesn’t compile with ASAN.
2023-07-10: Confirmed that v8.5.4 compiles with ASAN in our setup, the issue is still reproducible and building with ASAN is optional: the report contains enough information to setup breakpoints and reproduce it with the PoC file.
2023-07-10: Provided PoC for GHSL-2023-112 in binary format instead of a python script for PoC generation as requested.
2023-07-17: Asked the maintainer if they successfully downloaded the binary PoC, if they have any questions and notified about the disclosure policy. No reply received.
2023-08-09: Notepad++ v8.5.5 without the fixes was released.
2023-08-15: Notepad++ v8.5.6 without the fixes was released.
2023-08-21: Publishing according to our coordinated disclosure policy.

来源

github

本文来自:【漏洞】请抓紧卸载Notepad++(npp)-小码农,转载请保留本条链接,感谢!

温馨提示:
本文最后更新于 2023年09月07日,已超过 225 天没有更新。若文章内的图片失效(无法正常加载),请留言反馈或直接联系我
正文到此结束
本文目录