{"id":285520,"date":"2023-09-02T07:19:25","date_gmt":"2023-09-02T05:19:25","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=285520"},"modified":"2023-09-02T07:35:08","modified_gmt":"2023-09-02T05:35:08","slug":"schwachstellen-in-notepad-sept-2023","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/09\/02\/schwachstellen-in-notepad-sept-2023\/","title":{"rendered":"Schwachstellen in Notepad ++ (Sept. 2023)"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2023\/09\/02\/vulnerabilities-in-notepad-sept-2023\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Im beliebten Editor Notepad ++ finden sich wohl mehrere Schwachstellen (CVE-2023-40031, CVE-2023-40036, CVE-2023-40164, CVE-2023-40166), die von einem Sicherheitsforscher an den Entwickler gemeldet wurden. Die Einstufung der Schwachstellen reicht von mittel bis hoch. Obwohl diese Meldung bereits einige Monate her ist, gibt es bisher kein Sicherheitsupdate f\u00fcr Notepad ++, obwohl in der Zwischenzeit mehrere Produkt-Updates erfolgten. Wann ein Update bereitsteht, ist derzeit offen.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/9d3fbba785b04f2084dbb0d012568d85\" alt=\"\" width=\"1\" height=\"1\" \/>Die Entdeckung der -Schwachstellen (CVE-2023-40031, CVE-2023-40036, CVE-2023-40164, CVE-2023-40166) im Editor Notepad ++ f\u00fcr Windows erfolgte durch den Sicherheitsforscher Jaroslav Lobacevski. Dieser hat die Details auf seiner <a href=\"https:\/\/securitylab.github.com\/advisories\/GHSL-2023-092_Notepad__\/\" target=\"_blank\" rel=\"noopener\">dieser GitHub Security-Seite<\/a> ver\u00f6ffentlicht. Die Buffer-Overflow-Schwachstelle CVE-2023-40031 wird bez\u00fcglich des Risikos als hoch bewertet. Denn ein Angreifer k\u00f6nnte eine Datei pr\u00e4parieren, die beim \u00d6ffnen in Notepad++ Schadcode auf das betreffende Windows-System schiebt.<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/i.postimg.cc\/ZRwsC31H\/image.png\" \/><\/p>\n<p>Wie das genau mit der Codeausf\u00fchrung passiert, ist allerdings unklar. Das Problem ist wohl die Unicode-Darstellung bzw. die Konvertierung von UTF16 zu UTF8, wo es zu einem Puffer\u00fcberlauf kommen kann. Den Angaben eines Sicherheitsforschers entnehme ich, dass das Ganze durch ein Python-Script, welches geladen wird, ausgel\u00f6st werden kann. Dieses Szenario kann zur Ausf\u00fchrung von beliebigem Code f\u00fchren, wie der Entdecker der Schwachstelle schreibt. Die Schwachstelle lie\u00dfe sich durch \u00fcberpr\u00fcfen der erforderlichen Puffergr\u00f6\u00dfe im Programmcode eliminieren.<\/p>\n<p>Ich halte aktuell das Risiko pers\u00f6nlich f\u00fcr begrenzt, da der Nutzer ja dazu \u00fcberredet werden muss, die fremde Datei zu \u00f6ffnen &#8211; und normale Windows-Nutzer werden Notepad ++ eher nicht einsetzen. Wenn ich es richtig interpretiere, m\u00fcsste der Nutzer zudem \u00fcber das <em>Encoding<\/em>-Men\u00fc eine Konvertierung der Textdatei von UTF16 zu UTF8 ansto\u00dfen, um den Puffer\u00fcberlauf zu provozieren. Aktuell stellt es sich f\u00fcr mich so dar, dass die Schwachstellen vorhanden sind. Nutzer von Notepad ++ sollten sich dar\u00fcber klar sein, das \u00fcbersandte Fremddateien beim \u00d6ffnen ein solches Risiko darstellen. Die restlichen CVEs sind im Risiko als moderat eingestuft, wie heise in <a href=\"https:\/\/www.heise.de\/news\/Entwickler-von-Notepad-ignoriert-offensichtlich-Sicherheitsluecken-9289124.html\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> schreibt.<\/p>\n<p>Der Sicherheitsforscher Jaroslav Lobacevski hat die Schwachstellen zum 28. April 2023 an den Entwickler des Notepad++ Editors gemeldet. Seit dieser Zeit ist aber nichts passiert, obwohl ein Vorschlag f\u00fcr den Fix erfolgt. Im Mai und im Juni 2023 kamen Updates des Editors Notepad++ heraus, ohne dass die Schwachstelle behoben wurde. Im <a href=\"https:\/\/securitylab.github.com\/advisories\/GHSL-2023-092_Notepad__\/\" target=\"_blank\" rel=\"noopener\">Eintrag auf GitHub Security<\/a> l\u00e4sst sich die z\u00e4he Kommunikation zwischen Sicherheitsforscher Jaroslav Lobacevski mit dem Entwickler der Software nachlesen.<\/p>\n<p>Obwohl der Entwickler Produkt-Updates ver\u00f6ffentlicht hat, wurden die Schwachstellen nicht geschlossen. Zudem f\u00fchrte der Entwickler aus, dass Notepad v8.5.4 sich nicht mit AddressSanitizer (ASAN) als Sicherheitsoption kompilieren lie\u00dfe. Im Juli 2023 wurde dann doch best\u00e4tigt, dass die v8.5.4 sich mit ASAN \u00fcbersetzen l\u00e4sst. Der Entwickler hat aber weitere Notepad++ Updates ver\u00f6ffentlicht, ohne die gemeldeten Schwachstellen zu beheben.<\/p>\n<p>Nachdem der Entwickler mehrfach auf die Probleme hingewiesen wurde, diesem ein Proof of Concept im Bin\u00e4rformat (statt als Python Script) \u00fcbersandt. Eine Reaktion erfolgte bisher nicht, obwohl weitere Updates des Editors erfolgten. Am 21. August 2023 hat der Sicherheitsforscher dann seine <a href=\"https:\/\/securitylab.github.com\/advisories\/GHSL-2023-092_Notepad__\/\" target=\"_blank\" rel=\"noopener\">Erkenntnisse ver\u00f6ffentlicht<\/a>. Wann ein Update zum Fixen der Schwachstellen kommt, ist weiter unklar &#8211; auch eine Nachfrage von heise hat da keine Klarheit gebracht. Allerdings gibt es <a href=\"https:\/\/github.com\/notepad-plus-plus\/notepad-plus-plus\/issues\/14073#issuecomment-1701180726\" target=\"_blank\" rel=\"noopener\">diesen 2 Tage alten Kommentar<\/a> des Entwicklers, dass er die Aufforderung zum Beseitigen der Schwachstelle akzeptiert hat &#8211; die Ver\u00f6ffentlichung der Schwachstellen scheint funktioniert zu haben.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Im beliebten Editor Notepad ++ finden sich wohl mehrere Schwachstellen (CVE-2023-40031, CVE-2023-40036, CVE-2023-40164, CVE-2023-40166), die von einem Sicherheitsforscher an den Entwickler gemeldet wurden. Die Einstufung der Schwachstellen reicht von mittel bis hoch. Obwohl diese Meldung bereits einige Monate her ist, &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/09\/02\/schwachstellen-in-notepad-sept-2023\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328,3836],"class_list":["post-285520","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/285520","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=285520"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/285520\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=285520"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=285520"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=285520"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}