O vulnerabilitate a Notepad++ permite blocarea aplicației și divulgarea datelor din memoria sistemului
Sursă: https://cybersecuritynews.com
A fost identificată o vulnerabilitate de securitate în Notepad++, unul dintre cele mai utilizate editoare de text open-source în rândul dezvoltatorilor și al profesioniștilor din domeniul IT.
Vulnerabilitatea CVE-2026-3008 ar putea permite unui atacator la distanță să blocheze aplicația sau să extragă informații sensibile privind adresele de memorie din sistemele afectate.
Vulnerabilitatea este o eroare de injectare de șiruri de caractere localizată în funcționalitatea FindInFiles a Notepad++. Mai precis, eroarea apare atunci când câmpul find-result-hits din fișierul de configurare nativeLang.xml conține un specifier de format %s, declanșând un comportament neașteptat în timpul operațiunilor de căutare.
Acest tip de vulnerabilitate poate duce la o gestionare necorespunzătoare a memoriei, permițând atacatorilor fie să declanșeze un atac de tip denial-of-service (DoS) prin blocarea aplicației, fie să colecteze informații privind adresele de memorie care ar putea fi utilizate în încercări ulterioare de exploatare.
Cea de-a doua vulnerabilitate, CVE-2026-6539, a fost, de asemenea, asociată cu același patch, ceea ce sugerează că, pe lângă vulnerabilitatea principală, au fost rezolvate și alte probleme de securitate conexe.
O exploatare reușită ar putea perturba fluxurile de lucru ale dezvoltatorilor, administratorilor de sistem și analiștilor de securitate care se bazează pe Notepad++ pentru operațiunile de zi cu zi.
Vulnerabilitățile legate de divulgarea memoriei, deși sunt uneori considerate a avea un grad redus de severitate, atunci când sunt analizate separat, sunt adesea combinate cu alte exploatări pentru a ocoli măsurile de securitate, cum ar fi randomizarea dispunerii spațiului de adrese (ASLR).
Vulnerabilitatea afectează în mod specific:
- Notepad++ versiunea 8.9.3
Utilizatorii care folosesc versiuni anterioare trebuie să considere că sunt expuși la același risc și să aplice fără întârziere patch-ul disponibil.
Responsabilul de produse Notepad++, a reacționat prompt prin lansarea versiunii 8.9.4, care remediază direct atât vulnerabilitatea CVE-2026-3008, cât și pe cea CVE-2026-6539.
Remedierea rezolvă problema blocării funcției FindInFiles atunci când șirurile de date sunt analizate incorect din fișierul nativeLang.xml.
Având în vedere utilizarea pe scară largă a Notepad++ în mediile corporative și pe stațiile de lucru ale dezvoltatorilor, instituțiile ar trebui să acorde prioritate acestei actualizări în cadrul ciclurilor lor standard de gestionare a patch-urilor.
Utilizatorii care se bazează pe configurații personalizate ale fișierului nativeLang.xml sunt îndemnați în mod special să aplice remedierea fără întârziere.
Sursă: https://cybersecuritynews.com/notepad-vulnerability-crash/
