Notepad++ es un editor de código fuente ampliamente utilizado por desarrolladores de todo el mundo. Su popularidad se debe a su versatilidad y capacidad para admitir una amplia variedad de lenguajes de programación, así como a su capacidad de extensión mediante complementos.
Sin embargo, recientemente se descubrieron múltiples vulnerabilidades en la versión 8.5.2 de Notepad++, lo que plantea serias preocupaciones de seguridad para sus usuarios.
Notepad++: Vulnerabilidades Críticas Descubiertas
El investigador de seguridad de GitHub, Jaroslav Lobačevski, ha estado monitoreando de cerca Notepad++ y ha identificado varias vulnerabilidades en la versión 8.5.2 durante los últimos meses. Estas vulnerabilidades se refieren a desbordamientos de búfer, tanto de escritura como de lectura, en diversas funciones y bibliotecas utilizadas por Notepad++.
Aquí, destacamos las cuatro principales vulnerabilidades identificadas por el investigador:
- CVE-2023-40031: Este desbordamiento de búfer ocurre en la función Utf8_16_Read::convert debido a suposiciones incorrectas sobre las conversiones de codificación UTF16 a UTF8. Se le ha asignado una calificación CVSS v3 de 7.8 (alta), lo que indica la posibilidad de ejecución de código arbitrario. Sin embargo, algunos usuarios han planteado dudas sobre la gravedad real de esta vulnerabilidad.
- CVE-2023-40036: En esta vulnerabilidad, se produce un desbordamiento de lectura del búfer global en CharDistributionAnalysis::HandleOneChar. Este error se debe a un orden de índice de matriz basado en el tamaño del búfer, agravado por el uso de la biblioteca uchardet. Aunque su gravedad se califica como media (5.5), aún podría explotarse para filtrar información de asignación de memoria interna.
- CVE-2023-40164: Este desbordamiento de lectura del búfer global se encuentra en nsCodingStateMachine::NextState y está vinculado a una versión específica de la biblioteca uchardet utilizada por Notepad++. Su gravedad también se califica como media (5.5) debido a su dependencia del tamaño del búfer charLenTable.
- CVE-2023-40166: En este caso, se produce un desbordamiento de lectura del búfer del montón en FileManager::detectLanguageFromTextBegining. Este error surge debido a la incapacidad para verificar las longitudes del búfer durante la detección del idioma del archivo. Al igual que las otras vulnerabilidades, su gravedad se considera media (5.5).
Respuesta y Solución
A pesar de que Jaroslav Lobačevski informó sobre estas vulnerabilidades en agosto de 2023, el equipo de desarrollo de Notepad++ no respondió con prontitud. Fue la comunidad de usuarios la que presionó para obtener una resolución.
Finalmente, el 30 de agosto de 2023, se creó un problema público para abordar estas preocupaciones, y las correcciones correspondientes se integraron en la rama principal del código el 3 de septiembre de 2023.
Actualiza a Notepad++ Versión 8.5.7
La solución a estas vulnerabilidades críticas es instalar la última versión de Notepad++, que en este caso es la 8.5.7. Esta actualización no solo aborda las cuatro vulnerabilidades mencionadas, sino que también incluye correcciones para otros errores enumerados en el registro de cambios.
Para garantizar la seguridad de tus proyectos y datos, te recomendamos encarecidamente que actualices tu versión de Notepad++ sin demora.
¿Has actualizado ya a Notepad++ 8.5.7? ¿Qué opinas sobre la respuesta inicial del equipo de desarrollo de Notepad++ ante estas vulnerabilidades? Comparte tus pensamientos en los comentarios.
Te puede interesar: