Plusieurs vulnérabilités permettant l’exécution de code arbitraire découvertes dans Notepad++

 (cybersecuritynews.com)
5 points par kuroneko 2023-09-05 | 2 commentaires | Partager sur WhatsApp
  • Jaroslav Lobačevski, chercheur en sécurité chez GitLab, a découvert des vulnérabilités de débordement dans certaines fonctionnalités et bibliothèques utilisées par Notepad++.
  • Notepad++ n’a pas encore fourni de correctif pour ces vulnérabilités, mais celles-ci ont été divulguées en premier conformément à la politique de divulgation.
  • Les vulnérabilités sont les suivantes, avec un niveau de gravité allant d’environ 5,5 (modéré) à 7,8 (élevé) selon le barème CVE.
    • CVE-2023-40031 : débordement d’écriture de tampon sur le tas dans Utf8_16_Read
    • CVE-2023-40036 : débordement de lecture de tampon global dans CharDistributionAnalytic
    • CVE-2023-40164 : débordement de lecture de tampon global dans nsCodingStateMachine
    • CVE-2023-40166 : débordement de lecture de tampon sur le tas dans FileManager
  • Un rapport détaillé contenant également une preuve de concept et du code d’exemple pour ces vulnérabilités a été publié en même temps.

À lire aussi

2 commentaires

 
kuroneko 2023-09-05

Il ne semble pas que l’exécution de code arbitraire soit garantie, plutôt qu’elle soit seulement possible.
Certains avis laissent penser que l’exploitation serait difficile.

Quoi qu’il en soit, c’est étrange qu’il n’y ait pas de mise à jour.
 
kuroneko 2023-09-05

Résumé par IA

  • amiga386 : mentionne qu’un bug a été découvert, mais qu’il semble difficile à exploiter. Il espère que le développeur identifiera et corrigera le problème.
  • boxed : souligne qu’à la date de publication, les correctifs n’avaient pas encore été réellement implémentés.
  • esrauch : affirme que le problème est plus grave qu’il n’y paraît, car le simple fait d’ouvrir un fichier malveillant peut déclencher l’exploit.
  • layer8 : soutient qu’il suffit d’ouvrir un fichier malveillant, puisque l’exploit peut être transmis via une pièce jointe d’e-mail.
  • inferiorhuman : apporte le contexte selon lequel l’API Windows utilise par défaut l’UTF-16 plutôt que l’UTF-8.
  • Fulgen : suggère que Notepad++ pourrait utiliser l’API Windows pour convertir l’UTF-16 en UTF-8 au lieu d’une implémentation maison.
  • PrimeMcFly : envisage, à la lumière de ces problèmes, de privilégier l’écriture de son propre éditeur de texte de base.
  • nijave : exprime sa déception face au retard pris par Notepad++ par rapport à des éditeurs légers comme Visual Studio Code.
  • baal80spam : classe les éditeurs de texte selon leur légèreté perçue et place Notepad++ entre Notepad2 et VS Code.
  • currysausage : discute d’alternatives légères à Notepad++, comme Notepad2, Notepad2-mod et Notepad3.