Notepad++ es un editor de cĆ³digo fuente ampliamente utilizado por desarrolladores de todo el mundo. Su popularidad se debe a su versatilidad y capacidad para admitir una amplia variedad de lenguajes de programaciĆ³n, asĆ como a su capacidad de extensiĆ³n mediante complementos.
Sin embargo, recientemente se descubrieron mĆŗltiples vulnerabilidades en la versiĆ³n 8.5.2 de Notepad++, lo que plantea serias preocupaciones de seguridad para sus usuarios.
Notepad++: Vulnerabilidades CrĆticas Descubiertas
El investigador de seguridad de GitHub, Jaroslav LobaÄevski, ha estado monitoreando de cerca Notepad++ y ha identificado varias vulnerabilidades en la versiĆ³n 8.5.2 durante los Ćŗltimos meses. Estas vulnerabilidades se refieren a desbordamientos de bĆŗfer, tanto de escritura como de lectura, en diversas funciones y bibliotecas utilizadas por Notepad++.
AquĆ, destacamos las cuatro principales vulnerabilidades identificadas por el investigador:
- CVE-2023-40031: Este desbordamiento de bĆŗfer ocurre en la funciĆ³n Utf8_16_Read::convert debido a suposiciones incorrectas sobre las conversiones de codificaciĆ³n UTF16 a UTF8. Se le ha asignado una calificaciĆ³n CVSS v3 de 7.8 (alta), lo que indica la posibilidad de ejecuciĆ³n de cĆ³digo arbitrario. Sin embargo, algunos usuarios han planteado dudas sobre la gravedad real de esta vulnerabilidad.
- CVE-2023-40036: En esta vulnerabilidad, se produce un desbordamiento de lectura del bĆŗfer global en CharDistributionAnalysis::HandleOneChar. Este error se debe a un orden de Ćndice de matriz basado en el tamaƱo del bĆŗfer, agravado por el uso de la biblioteca uchardet. Aunque su gravedad se califica como media (5.5), aĆŗn podrĆa explotarse para filtrar informaciĆ³n de asignaciĆ³n de memoria interna.
- CVE-2023-40164: Este desbordamiento de lectura del bĆŗfer global se encuentra en nsCodingStateMachine::NextState y estĆ” vinculado a una versiĆ³n especĆfica de la biblioteca uchardet utilizada por Notepad++. Su gravedad tambiĆ©n se califica como media (5.5) debido a su dependencia del tamaƱo del bĆŗfer charLenTable.
- CVE-2023-40166: En este caso, se produce un desbordamiento de lectura del bĆŗfer del montĆ³n en FileManager::detectLanguageFromTextBegining. Este error surge debido a la incapacidad para verificar las longitudes del bĆŗfer durante la detecciĆ³n del idioma del archivo. Al igual que las otras vulnerabilidades, su gravedad se considera media (5.5).
Respuesta y SoluciĆ³n
A pesar de que Jaroslav LobaÄevski informĆ³ sobre estas vulnerabilidades en agosto de 2023, el equipo de desarrollo de Notepad++ no respondiĆ³ con prontitud. Fue la comunidad de usuarios la que presionĆ³ para obtener una resoluciĆ³n.
Finalmente, el 30 de agosto de 2023, se creĆ³ un problema pĆŗblico para abordar estas preocupaciones, y las correcciones correspondientes se integraron en la rama principal del cĆ³digo el 3 de septiembre de 2023.
Actualiza a Notepad++ VersiĆ³n 8.5.7
La soluciĆ³n a estas vulnerabilidades crĆticas es instalar la Ćŗltima versiĆ³n de Notepad++, que en este caso es la 8.5.7. Esta actualizaciĆ³n no solo aborda las cuatro vulnerabilidades mencionadas, sino que tambiĆ©n incluye correcciones para otros errores enumerados en el registro de cambios.
Para garantizar la seguridad de tus proyectos y datos, te recomendamos encarecidamente que actualices tu versiĆ³n de Notepad++ sin demora.
ĀæHas actualizado ya a Notepad++ 8.5.7? ĀæQuĆ© opinas sobre la respuesta inicial del equipo de desarrollo de Notepad++ ante estas vulnerabilidades? Comparte tus pensamientos en los comentarios.
Te puede interesar:Ā
Comentarios!
Comentarios