Notepad++, il popolare editor di codice sorgente gratuito, ha recentemente lanciato la versione 8.5.7, introducendo correzioni per diverse vulnerabilità critiche, alcune delle quali potenzialmente pericolose. Questa versione arriva come risposta urgente alla scoperta di alcune falle di sicurezza gravi segnalate da un ricercatore di sicurezza di GitHub, Jaroslav Lobačevski, negli ultimi mesi. È fondamentale che gli utenti aggiornino il programma quanto prima per evitare possibili exploit.
Dettagli delle Vulnerabilità di Sicurezza in Notepad++
Le vulnerabilità scoperte riguardano sovrascritture e letture di buffer heap in diverse funzioni e librerie utilizzate da Notepad++. Di seguito, una sintesi delle quattro principali falle individuate dal ricercatore di GitHub:
- CVE-2023-40031: Questa vulnerabilità è dovuta a un overflow di buffer nella funzione Utf8_16_Read::convert, causato da presupposti errati sulle conversioni da codifica UTF16 a UTF8. È stata assegnata una valutazione CVSS v3 di 7.8, indicando un alto livello di gravità, con la potenziale capacità di condurre a esecuzioni di codice arbitrarie. Tuttavia, alcuni utenti contestano la possibilità di eseguire codici attraverso questa falla, definendola come un errore minore con quasi nessuna possibilità di permettere l’esecuzione di codice arbitrario.
- CVE-2023-40036: Questa falla riguarda un overflow globale di lettura del buffer in CharDistributionAnalysis::HandleOneChar, aggravato dall’uso della libreria uchardet. Potrebbe essere sfruttato per rivelare informazioni sulla memoria interna.
- CVE-2023-40164: Un overflow globale di lettura del buffer si verifica in nsCodingStateMachine::NextState, legato a una specifica versione della libreria uchardet utilizzata da Notepad++. Questa vulnerabilità è dovuta alla sua dipendenza dalla dimensione del buffer charLenTable.
- CVE-2023-40166: Si verifica un overflow di lettura del buffer heap in FileManager::detectLanguageFromTextBegining, a causa della mancata verifica delle lunghezze del buffer durante il rilevamento della lingua del file.
Risposta e correzioni da parte dello sviluppatore
Nonostante le prove di concetto degli exploit siano state pubblicate il 21 agosto 2023, il team di sviluppo di Notepad++ non ha reagito prontamente alla situazione, fino a quando la comunità degli utenti ha sollecitato una risoluzione.
Il 30 agosto 2023, è stato creato un problema pubblico per riconoscere il problema, e le correzioni per le quattro vulnerabilità sono state integrate nel codice principale il 3 settembre 2023. Ora, la versione 8.5.7 di Notepad++ è stata rilasciata e dovrebbe essere installata per risolvere le quattro vulnerabilità e altri bug elencati nel changelog.
