🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                    🔥 Văn phòng Ủy ban nhân dân tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                   

Notepad++ 8.5.7 được phát hành để khắc phục bốn lỗ hổng bảo mật, cập nhật ngay!

12/09/2023

Phiên bản Notepad++ 8.5.7 đã được phát hành với các bản vá cho nhiều lỗ hổng zero-day liên quan đến lỗi tràn bộ đệm, bao gồm một lỗi có khả năng dẫn đến việc thực thi mã bằng cách lừa người dùng mở tệp độc hại.

Notepad++ là công cụ chỉnh sửa mã nguồn miễn phí phổ biến, hỗ trợ nhiều ngôn ngữ lập trình, có thể được mở rộng thông qua plugin và cung cấp các tính năng nâng cao năng suất như chỉnh sửa nhiều tab và làm nổi bật cú pháp.

Nhà nghiên cứu bảo mật của GitHub Jaroslav Lobačevski đã báo cáo các lỗ hổng trong phiên bản Notepad++ 8.5.2 cho các nhà phát triển trong vài tháng qua.

Mã khai thác cho lỗ hổng cũng đã được công bố công khai, do đó người dùng cần phải cập nhật chương trình càng sớm càng tốt.

Lỗ hổng bảo mật trong Notepad++

Các lỗ hổng được phát hiện liên quan đến sự cố tràn bộ đệm trong các hàm (function) và thư viện khác nhau được Notepad++ sử dụng, bao gồm:

CVE-2023-40031: Lỗi buffer overflow trong function Utf8_16_Read::convert.

CVE-2023-40036: Lỗi Global buffer read overflow trong CharDistributionAnalysis::HandleOneChar

CVE-2023-40164: Tràn Global buffer read overflow trong nsCodingStateMachine::NextState.

CVE-2023-40166: Lỗi Heap buffer read overflow trong FileManager:: detectLanguageFromTextBegining.

Nghiêm trọng nhất trong số này là CVE-2023-40031, được xếp hạng CVSS v3 là 7,8 (cao), có khả năng dẫn đến việc thực thi mã tùy ý.

Ba lỗ hổng còn lại là các vấn đề có độ nghiêm trọng mức trung bình (5,5) mà Lobačevski cho rằng có thể bị lạm dụng để gây rò rỉ thông tin cập phát bộ nhớ trong (internal memory allocation).

Vào ngày 30 tháng 8 năm 2023, một vấn đề công khai đã được tạo ra để xác nhận sự cố và các bản vá cho 4 lỗ hổng đã được đưa vào nhánh mã nguồn chính (main code) vào ngày 3 tháng 9.

Notepad++ 8.5.7 hiện đã được phát hành và cần được cài đặt ngay để khắc phục 4 lỗ hổng bảo mật cũng như các lỗi khác được liệt kê trong nhật ký thay đổi.

Nguồn: bleepingcomputer.com.

scrolltop