В работе популярного текстового редактора найдены четыре критические уязвимости, которые хакеры могут эксплуатировать для запуска своего кода на компьютерах пользователей.
21 августа на платформе GitHub специалист по поиску уязвимостей опубликовал следующий список критических угроз в Notepad++:
CVE-2023-40031 (CVSS 7,8) — переполнение буфера в функции конвертации кодировки UTF;
CVE-2023-40036 (CVSS 5,5) — переполнение глобального буфера в модуле анализа символов;
CVE-2023-40164 (CVSS 7,8) — переполнение глобального буфера в библиотеке uchardet;
CVE-2023-40166 (CVSS 7,8) — переполнение буфера при определении языка открываемого файла.
Notepad++ не просто классический редактор текста, но и многофункциональный редактор кода, который используется разработчиками программного обеспечения по всему миру.
Пока никаких комментариев от разработчиков редактора не поступало и обновлений, которые перекрывали бы использование указанных выше уязвимостей тоже не было выпущено.
Эксперты в области информационной безопасности рекомендуют не надеяться в подобных случаях на скорый выпуск обновлений. Мы рекомендуем оценивать риски и закрывать возможность эксплуатации уязвимости на ранних этапах!