Mehrere Sicherheitslücken gefährden den Texteditor Notepad++. Trotz Informationen zu den Lücken und möglichen Fixes steht ein Sicherheitsupdate noch aus.

Sicherheitsforscher haben Ende April '23 vier Sicherheitslücken an die Entwickler von Notepad++ geschickt. Die Probleme sind trotz der zahlreichen Updates seither nicht behoben worden. Im schlimmsten Fall kann Schadcode auf den Computer gelangen. Wie ein Angriff aussehen kann ist nicht bekannt; mit einer präparierten Datei kann jedoch ein Buffer Overflow provoziert werden.

  • c64@feddit.deOP
    20·
    1 year ago

    Na ja, ein paar Dinge muss man schon berücksichtigen.

    1. Notepad++ ist relativ weit verbreitet. Das steigert das Risiko, das Angreifer sich für die Lücke interessieren werden. Insofern ist es schon wichtig, dass die Nutzer wissen, dass sie bei bestimmten Szenarien aufpassen müssen.
    2. Es spricht für die Sicherheitsforscher, dass sie zuerst den Entwickler kontaktieren und wenn dieser nicht reagiert, den Druck zu erhöhen und das Problem öffentlich zu machen ohne direkt den Angriff mitzuliefern. Sonst eskaliert das Problem. Deswegen wird es auch nicht öffentlich belegt.
    3. Ob nun Notepad++ oder OpenSSL ist erst mal irrelevant, wenn Codeschmuggel/-ausführung möglich sind. Es ist dann nur die Frage, wie leicht lässt sich das bewerkstelligen. Und das unterjubeln von manipulierten Textdateien ist erst mal einfach. Notepad++ wird gerne als Source Code-Editor oder zum Bearbeiten von Konfigurationsdateien verwendet.

    Also ich persönlich habe Notepad++ als Standardeditor deaktiviert.

    • rhabarba@feddit.deDeutsch
      2·
      1 year ago

      Also ich persönlich habe Notepad++ als Standardeditor deaktiviert.

      Ich bereits vor vielen Jahren - es ist mir seinerzeit einfach zu oft abgestürzt.

      • c64@feddit.deOP
        2·
        1 year ago

        Wär’ mir jetzt eigentlich noch nie passiert. Andererseits nutze ich das Ding meist nur, wenn ich XML oder JSON pretty printen möchte oder Configs anpasse. Nicht sonderlich anspruchsvoll. Den Rest machen meist VS und Rider.

        • rhabarba@feddit.deDeutsch
          31·
          1 year ago

          “VS” - Visual Studio (für vieles zu fett) oder Visual Studio Code (headless Chrome mit allen impliziten Sicherheitsproblemen)?

          • c64@feddit.deOP
            3·
            1 year ago

            Visual Studio. Ist ja auch kein Editor, sondern eine IDE. Aber wenn ich halt darin arbeite, verlasse ich sie selten, meinte ich damit.