Mehrere Sicherheitslücken gefährden den Texteditor Notepad++. Trotz Informationen zu den Lücken und möglichen Fixes steht ein Sicherheitsupdate noch aus.
Wer Notepad++ unter Windows nutzt, macht sein System attackierbar. Sicherheitsforscher haben Ende April 2023 vier Sicherheitslücken an den Entwickler gemeldet – seitdem hat sich aber nicht viel getan. Im schlimmsten Fall kann nach erfolgreichen Attacken Schadcode auf Computer gelangen.
Auf die Schwachstellen sind Sicherheitsforscher vom GitHub Security Lab gestoßen. In einem Beitrag schildern sie Informationen zu den Lücken und wie der Kontakt mit dem Verantwortlichen verlaufen ist. Seit dem Melden der Schwachstellen vor rund vier Monaten sind zwar schon einige neue Versionen des Texteditors erschienen, den Forschern zufolge bestehen die Sicherheitsprobleme aber nach wie vor – inklusive der aktuellen Ausgabe v8.5.6.
Die Lücken
Bei der Umwandlung von UTF16 zu UTF8 kann es zu Fehlern kommen, die einen Buffer Overflow auslösen (CVE-2023-40031 “hoch“). Darüber können Angreifer Schadcode auf Systeme schieben und ausführen. Wie eine konkrete Attacke aussehen könnte, führen die Forscher derzeit nicht aus. In jedem Fall muss ein Opfer eine präparierte Datei öffnen.
Die drei verbleibenden Schwachstellen (CVE-2023-40036. CVE-2023-40164. CVE-2023-40166) sind mit dem Bedrohungsgrad “mittel” eingestuft. Was nach einer erfolgreichen Attacke passiert, ist zurzeit unklar. Die Forscher gehen davon aus, dass über die Schwachstelle Informationen leaken können.
Wann kommt der Sicherheitspatch?
Die Forscher geben an, dass die Kommunikation mit dem Entwickler zäh verläuft. Eigenen Angaben zufolge haben sie schon in ihren ersten Nachrichten Informationen zum Schließen der Schwachstellen mitgeteilt. Eine Antwort auf eine Anfrage von heise Security an den Entwickler steht noch aus.