Sicherheitsforscher haben Ende April '23 vier Sicherheitslücken an die Entwickler von Notepad++ geschickt. Die Probleme sind trotz der zahlreichen Updates seither nicht behoben worden. Im schlimmsten Fall kann Schadcode auf den Computer gelangen. Wie ein Angriff aussehen kann ist nicht bekannt; mit einer präparierten Datei kann jedoch ein Buffer Overflow provoziert werden.
Das wirkt auf mich etwas aufgebauscht.
Die haben einen BufferOverflow gefunden. Das ist ein Bug und eine potentielle Sicherheitslücke. Und der Entwickler reagiert nicht, also muss das veröffentlicht werden.
Ich bin weit davon entfernt, zu beurteilen, wie daraus eine Arbitrary Code Execution wird. Das wird zwar behauptet, aber nicht belegt. Gibt es einen Exploit?
Vor allem, wir reden hier von Notepad++, nicht openssl. Wie würde ein Angriffsszenario aussehen? Email mit manipulierem Anhang an eine Mitarbeiter:in, von der ich weiß, dass sie Notepad++ nimmt… Dann ist ACE natürlich eine Katastrophe, wenn der Exploit funktioniert…
Mein Gefühl ist, dass wir hier mit Tools nach möglichen Sicherheitslücken suchen. Und das Finding dann medial ausschlachten. Der Bug gehört gefixt, aber muß das einem breiten Publikum kommuniziert werden. Solche Bugs sind nicht gerade selten.
Na ja, ein paar Dinge muss man schon berücksichtigen.
Also ich persönlich habe Notepad++ als Standardeditor deaktiviert.
Ich bereits vor vielen Jahren - es ist mir seinerzeit einfach zu oft abgestürzt.
Wär’ mir jetzt eigentlich noch nie passiert. Andererseits nutze ich das Ding meist nur, wenn ich XML oder JSON pretty printen möchte oder Configs anpasse. Nicht sonderlich anspruchsvoll. Den Rest machen meist VS und Rider.
“VS” - Visual Studio (für vieles zu fett) oder Visual Studio Code (headless Chrome mit allen impliziten Sicherheitsproblemen)?
Visual Studio. Ist ja auch kein Editor, sondern eine IDE. Aber wenn ich halt darin arbeite, verlasse ich sie selten, meinte ich damit.
Ah, ergibt Sinn.
Viele Programmierer oder auch einfach Leute die besser Editieren wollen, und (noch immer) Windows nutzen, werden früher oder später auf NP++ stoßen. Je nachdem wie signifikant die Person ist, kann das weitreichende Folgen haben.
Ein Haupt-Maintainer von Projekt X lädt sich n Repo zum testen runter. Er öffnet die Readme, mit NP++. Leider ist die Präpariert und er bekommt unbemerkt Schadsoftware. Ein paar Wochen später wird von “ihm” dann nicht nur normaler Code, sondern auch subtile Schadsoftware in das Projekt geschoben, was er maintained.
Wäre o.g. maintainer ein Dev von OpenSSL, wäre jetzt eine Lücke in OpenSSL.
Das wäre natürlich sehr ungewöhnlich. ;o)
Ist ja nur ein Beispiel. Außerdem depended OpenSSL auch wiederum auf anderen Paketen usw.
Die Security-Welt hat sich an der Stelle etwas weitergedreht. Ein Exploit wird in der Regel aus mehreren Vulnerabilities zusammengesetzt. Wenn du in der Lage bist, Speicher zu überschreiben, bist du in der Lage, Code zu kontrollieren indem du die Daten modifizierst auf denen der Code basiert. Das wird zu 99% dafür sorgen dass es irgendeinen abstrusen Weg gibt, das Programm dazu zu zwingen, an eine vom Angreifer überschriebene und kontrollierte Sektion zu springen. Sobald das der Fall ist, gibt es Standard-Code der auf 3 gängigen Betriebssystemen auf den meisten Patch-Ständen effektiv wird und danach hochprivilegierte Rechte auf dem OS bereitstellt. Und danach gibt es kaufbare Malware die man danach durchziehen kann um Netzwerke zu übernehmen und Leute zu erpressen.
Und die ganzen wenns und abers im letzten Absatz sind der Grund, warum selbst diese Baustein-Lücken schnell geschlossen werden müssen. Jetzt kennt man sie, jetzt suchen einige bösartigen Menschen in dieser Welt nach dem einen Brückenstein zwischen einer potentiellen Sicherheitslücke und einer Spam-Mail-Welle gefolgt von SYSTEM-privilegien auf einer sehr grossen Menge an Systemen.
Und um ehrlich zu sein - bei sowas wie Notepad++ hast du eine Patch-Latenz von Monaten oder mehr. Das Ding installieren Leute und ignorieren es dann, weil “funtioniert doch”. “Warum soll man dann updaten, dann funktioniert doch nix mehr”. Grade bei sowas will man Patches schneller auf den Weg kriegen.
Das ist leider der Fluch des Erfolges in Software.
Nah. Es gibt sehr viele memory corruptions die es nur zu einem dos schaffen, meistens wegen effektiven exploit mitigations. Die frage ob es einen exploit gibt ist deshalb schon wichtig.
POC or GTFO