开源的代码编辑器 Notepad++ 此前被安全研究人员爆出存在多个高危漏洞,漏洞很早就已经通报给开发者,但不知道什么原因开发者一直没有修复。
根据 90 天的行业惯例,在超期后研究人员公布了这些漏洞细节,一方面是提醒用户注意安全,另一方面也是敦促开发者进行修复。
目前 Notepad++ 已经推出 8.5.7 版,发布时间是 2023 年 9 月 8 日,此版本已经修复了这些高危漏洞,同时也解决了其他问题。
仍然使用 Notepad++ 的用户记得更新到最新版本,避免因使用存在漏洞的版本导致潜在的安全问题。
以下是相关信息:
涉及软件:Notepad++ 研究人员:GitLab 平台安全研究员 Jaroslav Lobačevski (@JarLob)
漏洞编号:CVE-2023-40031、CVE-2023-40036、CVE-2023-40164、CVE-2023-40166
以下是漏洞信息:
CVE-2023-40031:Utf8_16_Read::convert 中堆缓冲区写入溢出,漏洞发生原因是该函数存在缺陷。
CVE-2023-40036:CharDistributionAnalysis::HandleOneChar 中的全局缓冲区读取溢出,攻击者可以制作特定文件导致全局缓冲区溢出进行利用。
CVE-2023-40164:nsCodingStateMachine::NextState 中的全局缓冲区读取溢出。
CVE-2023-40166:FileManager::detectLanguageFromTextBegining 中的堆缓冲区读取溢出。
如若转载,请注明出处:https://www.ozabc.com/it/536027.html