Schwachstellen in Notepad ++ (Sept. 2023)

Sicherheit (Pexels, allgemeine Nutzung)[English]Im beliebten Editor Notepad ++ finden sich wohl mehrere Schwachstellen (CVE-2023-40031, CVE-2023-40036, CVE-2023-40164, CVE-2023-40166), die von einem Sicherheitsforscher an den Entwickler gemeldet wurden. Die Einstufung der Schwachstellen reicht von mittel bis hoch. Obwohl diese Meldung bereits einige Monate her ist, gibt es bisher kein Sicherheitsupdate für Notepad ++, obwohl in der Zwischenzeit mehrere Produkt-Updates erfolgten. Wann ein Update bereitsteht, ist derzeit offen.


Anzeige

Die Entdeckung der -Schwachstellen (CVE-2023-40031, CVE-2023-40036, CVE-2023-40164, CVE-2023-40166) im Editor Notepad ++ für Windows erfolgte durch den Sicherheitsforscher Jaroslav Lobacevski. Dieser hat die Details auf seiner dieser GitHub Security-Seite veröffentlicht. Die Buffer-Overflow-Schwachstelle CVE-2023-40031 wird bezüglich des Risikos als hoch bewertet. Denn ein Angreifer könnte eine Datei präparieren, die beim Öffnen in Notepad++ Schadcode auf das betreffende Windows-System schiebt.

Wie das genau mit der Codeausführung passiert, ist allerdings unklar. Das Problem ist wohl die Unicode-Darstellung bzw. die Konvertierung von UTF16 zu UTF8, wo es zu einem Pufferüberlauf kommen kann. Den Angaben eines Sicherheitsforschers entnehme ich, dass das Ganze durch ein Python-Script, welches geladen wird, ausgelöst werden kann. Dieses Szenario kann zur Ausführung von beliebigem Code führen, wie der Entdecker der Schwachstelle schreibt. Die Schwachstelle ließe sich durch überprüfen der erforderlichen Puffergröße im Programmcode eliminieren.

Ich halte aktuell das Risiko persönlich für begrenzt, da der Nutzer ja dazu überredet werden muss, die fremde Datei zu öffnen – und normale Windows-Nutzer werden Notepad ++ eher nicht einsetzen. Wenn ich es richtig interpretiere, müsste der Nutzer zudem über das Encoding-Menü eine Konvertierung der Textdatei von UTF16 zu UTF8 anstoßen, um den Pufferüberlauf zu provozieren. Aktuell stellt es sich für mich so dar, dass die Schwachstellen vorhanden sind. Nutzer von Notepad ++ sollten sich darüber klar sein, das übersandte Fremddateien beim Öffnen ein solches Risiko darstellen. Die restlichen CVEs sind im Risiko als moderat eingestuft, wie heise in diesem Artikel schreibt.


Anzeige

Der Sicherheitsforscher Jaroslav Lobacevski hat die Schwachstellen zum 28. April 2023 an den Entwickler des Notepad++ Editors gemeldet. Seit dieser Zeit ist aber nichts passiert, obwohl ein Vorschlag für den Fix erfolgt. Im Mai und im Juni 2023 kamen Updates des Editors Notepad++ heraus, ohne dass die Schwachstelle behoben wurde. Im Eintrag auf GitHub Security lässt sich die zähe Kommunikation zwischen Sicherheitsforscher Jaroslav Lobacevski mit dem Entwickler der Software nachlesen.

Obwohl der Entwickler Produkt-Updates veröffentlicht hat, wurden die Schwachstellen nicht geschlossen. Zudem führte der Entwickler aus, dass Notepad v8.5.4 sich nicht mit AddressSanitizer (ASAN) als Sicherheitsoption kompilieren ließe. Im Juli 2023 wurde dann doch bestätigt, dass die v8.5.4 sich mit ASAN übersetzen lässt. Der Entwickler hat aber weitere Notepad++ Updates veröffentlicht, ohne die gemeldeten Schwachstellen zu beheben.

Nachdem der Entwickler mehrfach auf die Probleme hingewiesen wurde, diesem ein Proof of Concept im Binärformat (statt als Python Script) übersandt. Eine Reaktion erfolgte bisher nicht, obwohl weitere Updates des Editors erfolgten. Am 21. August 2023 hat der Sicherheitsforscher dann seine Erkenntnisse veröffentlicht. Wann ein Update zum Fixen der Schwachstellen kommt, ist weiter unklar – auch eine Nachfrage von heise hat da keine Klarheit gebracht. Allerdings gibt es diesen 2 Tage alten Kommentar des Entwicklers, dass er die Aufforderung zum Beseitigen der Schwachstelle akzeptiert hat – die Veröffentlichung der Schwachstellen scheint funktioniert zu haben.


Anzeige

Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu Schwachstellen in Notepad ++ (Sept. 2023)

  1. Andy sagt:

    Notepad++ dürfte nach meinen Erfahrungen auf etlichen Windows-Servern liegen. Bei unseren Dienstleistern auch sehr beliebt.
    Aber eigentlich nur zum direkten Bearbeiten der eigenen Configs, Skripte und XML-Dateien.
    Dennoch nicht ganz ungefährlich, wenn man statt selbst schreiben in Skriptsammlungen nach Lösungen sucht und die in Notepad++ prüfen/anpassen will.
    Wenn ich in Deinem Blog gedanklich zu älteren Artkkeln wandere, scheint das ja nicht ganz ungewöhnlich zu sein.

  2. Paul sagt:

    Notepad++ wird bei uns auch oft verwendet, bei Admins und Softwareentwicklern.

    Was mir im Moment nicht klar ist, ob auch CVE-2023-40031 (7.8 High) geschlossen wurde – siehe https://github.com/notepad-plus-plus/notepad-plus-plus/issues/14073

  3. Leak sagt:

    "Den Angaben eines Sicherheitsforschers entnehme ich, dass das Ganze durch ein Python-Script, welches geladen wird, ausgelöst werden kann."

    Das wuerde ja voraussetzen, dass auf dem Zielsystem neben Notepad++ auch Python installiert sein muesste – die Python-Skripte im Advisory dienen jeweils dazu, eine (Text-)Datei zu erzeugen, deren Oeffnen in Notepad++ den jeweiligen Bug ausloest…

  4. Luzifer sagt:

    Eines verstehe ich nicht… Driveby Malware etc. gibt es auch bereits gut 10 Jahre und trotzdem nutzen die Ganoven noch Malware wo man einen Dummen für braucht.
    Sind die alle so dumm?

  5. Stefan A. sagt:

    Scheinbar liest das CERT Bund auch BornCity ;)

    Klappt man die „Informationen" unter der WID-SEC-2023-2188 auf, ist unter „UPDATE 04.09.2023" dieser Artikel hier auf BornCity verlinkt :)

    https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-2188

    Ich vermute zwar, dass sie eigentlich auf den GitHub Security Labs Advisory GHSL-2023-092 verlinken wollten…

    … aber wie gesagt interessant, dass das CERT Bund genauso wie wir alle gerne BornCity liest :)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.