Notepad++ 8.5.7 risolve 4 problemi di sicurezza

Lo sviluppatore dell’editor di testo semplice open source Notepad++ ha rilasciato al pubblico l’aggiornamento di sicurezza Notepad++ 8.5.7. L’ultimo aggiornamento risolve quattro problemi di sicurezza nel client e introduce anche modifiche.

Gli utenti esistenti possono installare l’aggiornamento selezionando l’icona del punto interrogativo nell’interfaccia di Notepad++ e quindi Aggiorna Notepad++ dal menu che si apre. I nuovi utenti e coloro che preferiscono scaricare manualmente l’ultima versione li trovano, come di consueto, sul sito ufficiale del progetto GitHub . Il sito web del progetto ospita anche la versione portatile.

Le correzioni di sicurezza

I problemi di sicurezza sono stati segnalati al progetto qualche tempo fa e resi pubblici di recente. Un problema, CVE-2023-40031, ha un livello di gravità elevato, gli altri tre problemi, CVE-2023-40036, CVE-2023-40164 e CVE-2023-40166, un livello di gravità medio.

Il problema classificato come alto è un problema di sicurezza di overflow di scrittura del buffer di heap in Utf8_16_Read::convert, che gestisce le conversioni tra UTF8 e UTF16. Lo sfruttamento efficace del problema può portare all’esecuzione arbitraria di codice.

CVE-2023-40031 descrive un problema di overflow di lettura del buffer globale. Il caricamento di un file appositamente predisposto potrebbe comportare “la lettura oltre i limiti di un buffer di oggetti allocato a livello globale”. Il ricercatore di sicurezza, che ha segnalato il problema, ha suggerito che potrebbe far trapelare “informazioni sull’allocazione della memoria interna”.

CVE-2023-40036 e CVE-2023-40164 descrivono anche i problemi di overflow del buffer. La sfruttabilità del problema “non è chiara”, secondo il ricercatore, ma questi potrebbero anche “essere utilizzati per far trapelare informazioni sull’allocazione della memoria interna”.

Le modifiche non legate alla sicurezza in Notepad++ 8.5.7

aggiornamento della sicurezza del blocco note

L’applicazione uninstall.exe di Notepad++ è stata firmata, il che, per definizione, rappresenta un miglioramento della sicurezza.

Le restanti modifiche sono le seguenti:

  • Risolta una potenziale perdita di memoria durante la lettura di file UTF8-16.
  • Risolte le prestazioni di trascinamento delle schede durante la visualizzazione dell’elenco dei documenti.
  • Aggiunta opzione di avviso file Superrss da 2 GB per x64.
  • Risolto un problema di dissociazione del documento clonato dopo il riavvio dell’applicazione.
  • Risolto un problema di salvataggio della sessione file se il file è di sola lettura.
  • Risolto un problema che attivava file errati dopo il caricamento dei file di sessione.
  • Corretta la visualizzazione del valore della versione del prodotto nelle proprietà del file.
  • Modificato lo slogan nel programma di installazione.

Parole di chiusura

Gli utenti di Notepad++ potrebbero voler aggiornare alla nuova versione il prima possibile per risolvere i problemi di sicurezza nell’editor di testo. Sebbene i problemi appaiano file appositamente predisposti per lo sfruttamento, si consiglia comunque di eseguire immediatamente l’aggiornamento.

Ora tu: quale editor di testo semplice usi?