Hi!请登陆

代码编辑器Notepad++发布8.5.7版 修复了此前被爆出的高危漏洞

2023-9-21 80 9/21

开源的代码编辑器 Notepad++ 此前被安全研究人员爆出存在多个高危漏洞,漏洞很早就已经通报给开发者,但不知道什么原因开发者一直没有修复。

根据 90 天的行业惯例,在超期后研究人员公布了这些漏洞细节,一方面是提醒用户注意安全,另一方面也是敦促开发者进行修复。

目前 Notepad++ 已经推出 8.5.7 版,发布时间是 2023 年 9 月 8 日,此版本已经修复了这些高危漏洞,同时也解决了其他问题。

仍然使用 Notepad++ 的用户记得更新到最新版本,避免因使用存在漏洞的版本导致潜在的安全问题。

代码编辑器Notepad++发布8.5.7版 修复了此前被爆出的高危漏洞

以下是相关信息:

涉及软件:Notepad++ 研究人员:GitLab 平台安全研究员 Jaroslav Lobačevski (@JarLob)

漏洞编号:CVE-2023-40031、CVE-2023-40036、CVE-2023-40164、CVE-2023-40166

以下是漏洞信息:

CVE-2023-40031:Utf8_16_Read::convert 中堆缓冲区写入溢出,漏洞发生原因是该函数存在缺陷。

CVE-2023-40036:CharDistributionAnalysis::HandleOneChar 中的全局缓冲区读取溢出,攻击者可以制作特定文件导致全局缓冲区溢出进行利用。

CVE-2023-40164:nsCodingStateMachine::NextState 中的全局缓冲区读取溢出。

CVE-2023-40166:FileManager::detectLanguageFromTextBegining 中的堆缓冲区读取溢出。