Fallas de seguridad en Notepad ++ permiten a los atacantes ejecutar código arbitrario

Se han descubierto múltiples vulnerabilidades de desbordamiento de búfer en el popular editor de código Notepad++. Estas vulnerabilidades representan un riesgo potencial ya que podrían ser explotadas por usuarios malintencionados.

Las fallas encontradas en Notepad++ se centran específicamente en el desbordamiento de escritura y lectura del búfer del montón en ciertas funciones y bibliotecas utilizadas por el software. El investigador de seguridad Jaroslav Lobačevski (@JarLob), fue quien identificó estas vulnerabilidades y puso el foco en su gravedad.

  • CVE-2023-40031: Desbordamiento de escritura del búfer en Utf8_16_Read::convert al convertir de UTF16 a UTF8.
  • CVE-2023-40036: Desbordamiento de lectura del búfer global en CharDistributionAnalysis::HandleOneChar debido a un orden incorrecto en la matriz mCharToFreqOrder.
  • CVE-2023-40164: Desbordamiento de lectura del búfer global en nsCodingStateMachine::NextState debido a una copia vulnerable de la biblioteca uchardet.
  • CVE-2023-40166: Desbordamiento de lectura del búfer en FileManager::detectLanguageFromTextBegining debido a un error en el bucle que no verifica los límites del búfer.

Desafortunadamente, hasta el momento Notepad++ no ha lanzado parches para solucionar estas vulnerabilidades. Esta medida busca generar conciencia y presionar a los responsables para que tomen acciones rápidas.

Más información: cybersecuritynews

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *