原创

【漏洞】请抓紧卸载Notepad++(npp)

前言

请抓紧卸载Notepad++,这个漏洞非常危险,特别是对于生产安装了Npp的机器。

详细内容

最近有报道指出,开源代码编辑器Notepad++存在多个缓冲溢出漏洞,可能允许攻击者执行任意代码。这些漏洞的风险评分从中微到高危不等。

据了解,这些安全漏洞存在于Notepad++所使用的某些函数和库中,具体包括堆缓冲区写溢出和堆缓冲区读取溢出漏洞。

根据安全人员提供的时间线,这些漏洞于2023年4月28日被发现,并向Notepad++的厂商进行了报告。

然而,无论是在2023年5月15日发布的V8.5.3版本,还是在2023年6月18日发布的V8.5.4版本中,这些漏洞均未得到修复。

尽管安全人员在2023年7月8日至7月17日期间多次联系相关厂商并尝试解决问题,但部分漏洞仍然存在。

最终,在2023年8月9日发布的Notepad++ V8.55以及2023年8月15日发布的Notepad++ V8.5.6中,这些漏洞依然没有得到修复。

根据相关的漏洞披露规则和惯例,安全人员在2023年8月21日向公众披露了这些漏洞及其概念验证。其中涉及的漏洞包括:

  • CVE-2023-40031
  • CVE-2023-40036
  • CVE-2023-40164
  • CVE-2023-40166

披露时间线

2023-04-28: Reported GHSL-2023-092 with a fix suggestion to don.h at free.fr.
2023-05-06: Reception confirmed.
2023-05-08: Created private security advisory for GHSL-2023-102 and GHSL-2023-103 with a fix suggestion.
2023-05-11: Created private security advisory for GHSL-2023-112 with a fix suggestion.
2023-05-15: Notepad++ v8.5.3 without the fixes was released.
2023-06-05: Asked for an update.
2023-06-18: Notepad++ v8.5.4 without the fixes was released.
2023-07-01/02: Created private pull requests.
2023-07-04: Notified the maintainer that all reports contain a fix suggestion and for convenience the private pull requests were created.
2023-07-08: The maintainer asked for a binary blob for the GHSL-2023-112 PoC instead of the Python script.
2023-07-08: The maintainer says v8.5.4 doesn’t compile with ASAN.
2023-07-10: Confirmed that v8.5.4 compiles with ASAN in our setup, the issue is still reproducible and building with ASAN is optional: the report contains enough information to setup breakpoints and reproduce it with the PoC file.
2023-07-10: Provided PoC for GHSL-2023-112 in binary format instead of a python script for PoC generation as requested.
2023-07-17: Asked the maintainer if they successfully downloaded the binary PoC, if they have any questions and notified about the disclosure policy. No reply received.
2023-08-09: Notepad++ v8.5.5 without the fixes was released.
2023-08-15: Notepad++ v8.5.6 without the fixes was released.
2023-08-21: Publishing according to our coordinated disclosure policy.

来源

github

本文来自:【漏洞】请抓紧卸载Notepad++(npp)-小码农,转载请保留本条链接,感谢!

温馨提示:
本文最后更新于 2023年09月07日,已超过 235 天没有更新。若文章内的图片失效(无法正常加载),请留言反馈或直接联系我
正文到此结束
所属分类:ISSUE
热门推荐
相关文章
关于我
微信公众号
小码农
猫的一生在打哈欠中度过
本文目录
    标签云
    无标签 开发技术 android 数据持久化存储 互联网 资讯 iphone iclound 密码 虚拟机 不能启动 bug 问题 移动硬盘 加载 write proxy 科学上网 coding 重构 迅雷 ie10 linux udisk iso 镜像 ubuntu 节操 小米 尾插 雷军 建站 新手 绑定重定向 .net web chrome npapi 程序员 销售 创业 技术 mono jexus asp.net java 环境变量 思想 十大 脑洞大开
    近期评论
    网站信息
    • 文章总数:428 篇
    • 标签总数:601 个
    • 分类总数:16 个
    • 留言数量:60 条
    • 在线人数:1
    • 运行天数:865天
    • 最后更新:2023年05月23日23点