Se han descubierto múltiples vulnerabilidades de desbordamiento de búfer en el popular editor de código Notepad++. Estas vulnerabilidades representan un riesgo potencial ya que podrían ser explotadas por usuarios malintencionados.
Las fallas encontradas en Notepad++ se centran específicamente en el desbordamiento de escritura y lectura del búfer del montón en ciertas funciones y bibliotecas utilizadas por el software. El investigador de seguridad Jaroslav Lobačevski (@JarLob), fue quien identificó estas vulnerabilidades y puso el foco en su gravedad.
- CVE-2023-40031: Desbordamiento de escritura del búfer en Utf8_16_Read::convert al convertir de UTF16 a UTF8.
- CVE-2023-40036: Desbordamiento de lectura del búfer global en CharDistributionAnalysis::HandleOneChar debido a un orden incorrecto en la matriz mCharToFreqOrder.
- CVE-2023-40164: Desbordamiento de lectura del búfer global en nsCodingStateMachine::NextState debido a una copia vulnerable de la biblioteca uchardet.
- CVE-2023-40166: Desbordamiento de lectura del búfer en FileManager::detectLanguageFromTextBegining debido a un error en el bucle que no verifica los límites del búfer.
Desafortunadamente, hasta el momento Notepad++ no ha lanzado parches para solucionar estas vulnerabilidades. Esta medida busca generar conciencia y presionar a los responsables para que tomen acciones rápidas.
Más información: cybersecuritynews