Phiên bản Notepad++ 8.5.7 đã được phát hành với các bản vá cho nhiều lỗ hổng zero-day liên quan đến lỗi tràn bộ đệm, bao gồm một lỗi có khả năng dẫn đến việc thực thi mã bằng cách lừa người dùng mở tệp độc hại.
Notepad++ là công cụ chỉnh sửa mã nguồn miễn phí phổ biến, hỗ trợ nhiều ngôn ngữ lập trình, có thể được mở rộng thông qua plugin và cung cấp các tính năng nâng cao năng suất như chỉnh sửa nhiều tab và làm nổi bật cú pháp.
Nhà nghiên cứu bảo mật của GitHub Jaroslav Lobačevski đã báo cáo các lỗ hổng trong phiên bản Notepad++ 8.5.2 cho các nhà phát triển trong vài tháng qua.
Mã khai thác cho lỗ hổng cũng đã được công bố công khai, do đó người dùng cần phải cập nhật chương trình càng sớm càng tốt.
Lỗ hổng bảo mật trong Notepad++
Các lỗ hổng được phát hiện liên quan đến sự cố tràn bộ đệm trong các hàm (function) và thư viện khác nhau được Notepad++ sử dụng, bao gồm:
- CVE-2023-40031: Lỗi buffer overflow trong function Utf8_16_Read::convert.
- CVE-2023-40036: Lỗi Global buffer read overflow trong CharDistributionAnalysis::HandleOneChar
- CVE-2023-40164: Tràn Global buffer read overflow trong nsCodingStateMachine::NextState.
- CVE-2023-40166: Lỗi Heap buffer read overflow trong FileManager:: detectLanguageFromTextBegining.
Nghiêm trọng nhất trong số này là CVE-2023-40031, được xếp hạng CVSS v3 là 7,8 (cao), có khả năng dẫn đến việc thực thi mã tùy ý.
Ba lỗ hổng còn lại là các vấn đề có độ nghiêm trọng mức trung bình (5,5) mà Lobačevski cho rằng có thể bị lạm dụng để gây rò rỉ thông tin cập phát bộ nhớ trong (internal memory allocation).
Vào ngày 30 tháng 8 năm 2023, một vấn đề công khai đã được tạo ra để xác nhận sự cố và các bản vá cho 4 lỗ hổng đã được đưa vào nhánh mã nguồn chính (main code) vào ngày 3 tháng 9.
Notepad++ 8.5.7 hiện đã được phát hành và cần được cài đặt ngay để khắc phục 4 lỗ hổng bảo mật cũng như các lỗi khác được liệt kê trong nhật ký thay đổi.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Phần mềm gián điệp giả mạo ứng dụng Telegram đã được phát hiện trên Cửa hàng Google Play được thiết kế để thu thập thông tin nhạy cảm từ các thiết bị Android bị xâm nhập
Tín nhiệm mạng |CISA đã cảnh báo rằng nhiều tác nhân đe dọa đang khai thác các lỗ hổng bảo mật trong Fortinet FortiOS SSL-VPN và Zoho ManagedEngine ServiceDesk Plus để giành được quyền truy cập trái phép vào các hệ thống bị ảnh hưởng
Tín nhiệm mạng | Apple đã phát hành bản cập nhật bảo mật khẩn cấp để khắc phục hai lỗ hổng zero-day mới bị khai thác trong các cuộc tấn công nhắm vào người dùng iPhone và Mac, nâng tổng số lỗ hổng zero-day bị khai thác lên 13 lỗ hổng đã được vá kể từ đầu năm nay.
Tín nhiệm mạng |Google đã phát hành các bản vá bảo mật hàng tháng cho Android để giải quyết một số lỗ hổng, bao gồm một lỗi mà hãng cho biết có thể đã bị khai thác trong thực tế.
Tín nhiệm mạng | Meta tiết lộ rằng họ đã làm gián đoạn hai trong số các hoạt động gây ảnh hưởng bí mật lớn nhất được biết đến trên thế giới từ Trung Quốc và Nga, chặn hàng nghìn tài khoản và trang trên nền tảng của họ.
Tín nhiệm mạng | Công ty quản lý danh tính và quyền truy cập Okta đã cảnh báo về các cuộc tấn công social engineering nhắm mục tiêu vào các nhân viên thuộc bộ phận hỗ trợ CNTT cho khách hàng ở Mỹ nhằm lừa họ hủy kích hoạt MFA của người dùng quản trị
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
