[English]Im beliebten Editor Notepad ++ finden sich wohl mehrere Schwachstellen (CVE-2023-40031, CVE-2023-40036, CVE-2023-40164, CVE-2023-40166), die von einem Sicherheitsforscher an den Entwickler gemeldet wurden. Die Einstufung der Schwachstellen reicht von mittel bis hoch. Obwohl diese Meldung bereits einige Monate her ist, gibt es bisher kein Sicherheitsupdate für Notepad ++, obwohl in der Zwischenzeit mehrere Produkt-Updates erfolgten. Wann ein Update bereitsteht, ist derzeit offen.
Anzeige
Die Entdeckung der -Schwachstellen (CVE-2023-40031, CVE-2023-40036, CVE-2023-40164, CVE-2023-40166) im Editor Notepad ++ für Windows erfolgte durch den Sicherheitsforscher Jaroslav Lobacevski. Dieser hat die Details auf seiner dieser GitHub Security-Seite veröffentlicht. Die Buffer-Overflow-Schwachstelle CVE-2023-40031 wird bezüglich des Risikos als hoch bewertet. Denn ein Angreifer könnte eine Datei präparieren, die beim Öffnen in Notepad++ Schadcode auf das betreffende Windows-System schiebt.
Wie das genau mit der Codeausführung passiert, ist allerdings unklar. Das Problem ist wohl die Unicode-Darstellung bzw. die Konvertierung von UTF16 zu UTF8, wo es zu einem Pufferüberlauf kommen kann. Den Angaben eines Sicherheitsforschers entnehme ich, dass das Ganze durch ein Python-Script, welches geladen wird, ausgelöst werden kann. Dieses Szenario kann zur Ausführung von beliebigem Code führen, wie der Entdecker der Schwachstelle schreibt. Die Schwachstelle ließe sich durch überprüfen der erforderlichen Puffergröße im Programmcode eliminieren.
Ich halte aktuell das Risiko persönlich für begrenzt, da der Nutzer ja dazu überredet werden muss, die fremde Datei zu öffnen – und normale Windows-Nutzer werden Notepad ++ eher nicht einsetzen. Wenn ich es richtig interpretiere, müsste der Nutzer zudem über das Encoding-Menü eine Konvertierung der Textdatei von UTF16 zu UTF8 anstoßen, um den Pufferüberlauf zu provozieren. Aktuell stellt es sich für mich so dar, dass die Schwachstellen vorhanden sind. Nutzer von Notepad ++ sollten sich darüber klar sein, das übersandte Fremddateien beim Öffnen ein solches Risiko darstellen. Die restlichen CVEs sind im Risiko als moderat eingestuft, wie heise in diesem Artikel schreibt.
Anzeige
Der Sicherheitsforscher Jaroslav Lobacevski hat die Schwachstellen zum 28. April 2023 an den Entwickler des Notepad++ Editors gemeldet. Seit dieser Zeit ist aber nichts passiert, obwohl ein Vorschlag für den Fix erfolgt. Im Mai und im Juni 2023 kamen Updates des Editors Notepad++ heraus, ohne dass die Schwachstelle behoben wurde. Im Eintrag auf GitHub Security lässt sich die zähe Kommunikation zwischen Sicherheitsforscher Jaroslav Lobacevski mit dem Entwickler der Software nachlesen.
Obwohl der Entwickler Produkt-Updates veröffentlicht hat, wurden die Schwachstellen nicht geschlossen. Zudem führte der Entwickler aus, dass Notepad v8.5.4 sich nicht mit AddressSanitizer (ASAN) als Sicherheitsoption kompilieren ließe. Im Juli 2023 wurde dann doch bestätigt, dass die v8.5.4 sich mit ASAN übersetzen lässt. Der Entwickler hat aber weitere Notepad++ Updates veröffentlicht, ohne die gemeldeten Schwachstellen zu beheben.
Nachdem der Entwickler mehrfach auf die Probleme hingewiesen wurde, diesem ein Proof of Concept im Binärformat (statt als Python Script) übersandt. Eine Reaktion erfolgte bisher nicht, obwohl weitere Updates des Editors erfolgten. Am 21. August 2023 hat der Sicherheitsforscher dann seine Erkenntnisse veröffentlicht. Wann ein Update zum Fixen der Schwachstellen kommt, ist weiter unklar – auch eine Nachfrage von heise hat da keine Klarheit gebracht. Allerdings gibt es diesen 2 Tage alten Kommentar des Entwicklers, dass er die Aufforderung zum Beseitigen der Schwachstelle akzeptiert hat – die Veröffentlichung der Schwachstellen scheint funktioniert zu haben.
Anzeige
Notepad++ dürfte nach meinen Erfahrungen auf etlichen Windows-Servern liegen. Bei unseren Dienstleistern auch sehr beliebt.
Aber eigentlich nur zum direkten Bearbeiten der eigenen Configs, Skripte und XML-Dateien.
Dennoch nicht ganz ungefährlich, wenn man statt selbst schreiben in Skriptsammlungen nach Lösungen sucht und die in Notepad++ prüfen/anpassen will.
Wenn ich in Deinem Blog gedanklich zu älteren Artkkeln wandere, scheint das ja nicht ganz ungewöhnlich zu sein.
Die Lücke ist zwar schwer ausnutzbar, aber die Zielnutzer sind dafür um so interessanter, Admins, Softwareentwickler, usw.
Notepad++ wird bei uns auch oft verwendet, bei Admins und Softwareentwicklern.
Was mir im Moment nicht klar ist, ob auch CVE-2023-40031 (7.8 High) geschlossen wurde – siehe https://github.com/notepad-plus-plus/notepad-plus-plus/issues/14073
"Den Angaben eines Sicherheitsforschers entnehme ich, dass das Ganze durch ein Python-Script, welches geladen wird, ausgelöst werden kann."
Das wuerde ja voraussetzen, dass auf dem Zielsystem neben Notepad++ auch Python installiert sein muesste – die Python-Skripte im Advisory dienen jeweils dazu, eine (Text-)Datei zu erzeugen, deren Oeffnen in Notepad++ den jeweiligen Bug ausloest…
Eines verstehe ich nicht… Driveby Malware etc. gibt es auch bereits gut 10 Jahre und trotzdem nutzen die Ganoven noch Malware wo man einen Dummen für braucht.
Sind die alle so dumm?
Scheinbar liest das CERT Bund auch BornCity ;)
Klappt man die „Informationen" unter der WID-SEC-2023-2188 auf, ist unter „UPDATE 04.09.2023" dieser Artikel hier auf BornCity verlinkt :)
https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-2188
Ich vermute zwar, dass sie eigentlich auf den GitHub Security Labs Advisory GHSL-2023-092 verlinken wollten…
… aber wie gesagt interessant, dass das CERT Bund genauso wie wir alle gerne BornCity liest :)
Echt cool, hat mich das glatt aufgebaut ;-)
Das Thema ist übrigens hier zu finden: Notepad++ v8.5.7 fixt Schwachstellen
Download Notepad++ v8.5.7 (Vulnerability fixes)