Сразу четыре критических уязвимости нашли в текстовом редакторе Notepad++. Соответствующий отчет опубликован на GitHub.
Все обнаруженные проблемы связана с переполнением буфера обмена. Наименее серьезная из них с идентификатором CVE-2023-40036 имеет оценку 5.5 CVSS и представляет собой переполнение глобального буфера в модуле анализа символов.
Три другие уязвимости оцениваются в 7.8 по CVSS. CVE-2023-40031 вызывает переполнение буфера в функции конвертации кодировки, CVE-2023-40164 — глобального буфера в библиотеке uchardet, CVE-2023-40166 — переполнение буфера при определении языка открываемого файла.
Когда жертва открывает заранее подготовленный для нее текстовый файл, использующий эти уязвимости злоумышленник может получить полный контроль над системой. К настоящему моменту выявленные уязвимости пока не устранены.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.