พบช่องโหว่หลายรายการใน Notepad++ ที่อาจทำให้รันโค้ดตามอำเภอใจได้

 (cybersecuritynews.com)
5 คะแนน โดย kuroneko 2023-09-05 | 2 ความคิดเห็น | แชร์ทาง WhatsApp
  • Jaroslav Lobačevski นักวิจัยด้านความปลอดภัยของ GitLab พบช่องโหว่แบบ overflow ในบางฟังก์ชันและไลบรารีที่ Notepad++ ใช้งาน
  • Notepad++ ยังไม่ได้ออกแพตช์สำหรับช่องโหว่เหล่านี้ แต่มีการเปิดเผยรายละเอียดก่อนตามนโยบายการเปิดเผยข้อมูล
  • ช่องโหว่มีดังต่อไปนี้ โดยมีระดับความรุนแรงตามเกณฑ์ CVE ตั้งแต่ 5.5 (ปานกลาง) ถึง 7.8 (สูง)
  • มีการเผยแพร่รายงานฉบับละเอียด ที่รวม proof of concept และโค้ดตัวอย่างของช่องโหว่ไว้ด้วย

บทความที่เกี่ยวข้อง

2 ความคิดเห็น

 
kuroneko 2023-09-05

ดูเหมือนว่าจะไม่ใช่ว่าสามารถรันโค้ดตามอำเภอใจได้แน่นอน แต่เป็นประมาณว่ามีความเป็นไปได้
มีความเห็นอยู่บ้างว่าคงนำไปใช้โจมตีได้ยาก

อย่างไรก็ตาม การที่ยังไม่มีอัปเดตก็ดูน่าแปลกนะ
 
kuroneko 2023-09-05

สรุปโดย AI

  • amiga386: ระบุว่าพบข้อบกพร่องแล้ว แต่ดูเหมือนว่าจะนำไปใช้โจมตีได้ยาก และหวังว่านักพัฒนาจะเข้าใจปัญหานี้และแก้ไขมัน
  • boxed: ชี้ว่าเมื่ออิงตามวันที่เปิดเผยข้อมูล การแก้ไขยังไม่ได้ถูกนำไปใช้จริง
  • esrauch: โต้แย้งว่าปัญหานี้ร้ายแรงกว่าที่คิด เพราะเพียงแค่เปิดไฟล์อันตรายก็สามารถกระตุ้นการโจมตีได้
  • layer8: โต้แย้งว่าแค่เปิดไฟล์อันตรายก็เพียงพอแล้ว เพราะสามารถส่งช่องทางโจมตีผ่านไฟล์แนบอีเมลได้
  • inferiorhuman: ให้บริบทว่า Windows API ใช้ UTF-16 เป็นค่าเริ่มต้น ไม่ใช่ UTF-8
  • Fulgen: เสนอว่า Notepad++ สามารถใช้ Windows API เพื่อแปลง UTF-16 เป็น UTF-8 แทนการเขียนขึ้นเองได้
  • PrimeMcFly: พิจารณาว่าเมื่อคำนึงถึงปัญหาเหล่านี้แล้ว ควรให้ความสำคัญกับการเขียนโปรแกรมแก้ไขข้อความพื้นฐานของตนเองก่อน
  • nijave: แสดงความผิดหวังที่ Notepad++ ตามหลังโปรแกรมแก้ไขแบบเบาอย่าง Visual Studio Code
  • baal80spam: จัดอันดับโปรแกรมแก้ไขข้อความตามความเบาที่รับรู้ได้ โดยวาง Notepad++ ไว้ระหว่าง Notepad2 กับ VS Code
  • currysausage: พูดคุยเกี่ยวกับโปรแกรมแก้ไขน้ำหนักเบาที่เป็นทางเลือกแทน Notepad++ เช่น Notepad2, Notepad2-mod และ Notepad3.