Mal kurz informiert: Beim Notepad++ klaffen 4 offene Sicherheitslücken, die auch in der aktuellen Version 8.5.6 noch nicht geschlossen wurden. Dabei wird eine Lücke (CVE-2023-40031) mit „Hoch“ eingestuft. Wandelt man UTF16 zu UTF8 um, kann es einen Buffer Overflow auslösen.
Die Sicherheitsforscher haben sich mit den Entwicklern schon in Verbindung gesetzt. Bisher aber kaum Rückmeldungen erhalten. Da die Sicherheitsforscher keine genauen Angaben machen, wie die Lücken wirklich ausgenutzt werden können, ist es derzeit unklar, wie eine Attacke abläuft / ablaufen kann.
Bis hier weitere Informationen bekanntgegeben werden, solltet ihr nur vertrauenswürdige Dateien mit Notepad++ öffnen. Aber ich gehe mal davon aus, dass ihr es sonst auch schon immer so macht.
Danke an Tobias für die Nachricht und Hinweis.
Da N++ mit den Berechtigungen des angemeldeten Nutzers läuft, ist das Schadpotenzial allerdings vergleichsweise klein. Es gibt dadurch keine Privilege Escalation, d.h. man kann sich damit nicht mehr Rechte beschaffen.
Es gibt den sehr unwahrscheinlichen Fall, dass man ein Dokument z.B. unter %PROGRAMFILES% ändern und speichern möchte, dann fragt N++ ob man es mit Admin-Rechten und dem Dokument neustarten möchte. Aber wie du schon sagst ein sehr unwahrscheinliches Szenario, dass N++ jemals mit mehr als einfachen Benutzer-Rechten läuft.
🤔 …Da die Sicherheitsforscher keine genauen Angaben machen, wie die Lücken wirklich ausgenutzt werden können, ist es derzeit unklar, wie eine Attacke abläuft / ablaufen kann…
Das heißt, es wurde noch nicht bekannt gegeben wie die Lücke augenutzt wird. Auch mit einfachen Nutzerrechten kann ein ausgeführtes Programm eine Sicherheitslücke für erhöhte Rechte ausführen – also theoretisch ist man etwas sicherer, aber je nachdem wie die Sicherheitslücke funktioniert, ist man nicht sicherer mit weniger Rechten.
Im Worst-Case ist es eine Sicherheitslücke im Updater von N++.
Die einzige netzwerkfähige Komponente von N++ ist der (optionale) Updatemechanismus.
Sollte es jemand schaffen N++ manipulierte Updatepakete unterzuschieben, dann sind wir bei einer RCE-Lücke angelangt. Zwar eine RCE-Lücke, die in der Regel Userinteraktion erfordert, denn zum Installieren werden normalerweise administrative Rechte benötigt, was eine Bestätigung erfordert, aber nichtsdestotrotz eine RCE-Lücke.
Hoffen wir dass ich mich irre und es sich um was triviales handelt.
Ignoriert meinen nonsense. Man sollte erst lesen (auch die Quellen), dann wäre mir klar gewesen, dass es nicht um den Updater geht.
https://notepad-plus-plus.org/downloads/v8.5.7/