Sicherheitslücken im freien Editor Notepad++ seit Monaten ungepatcht

News-Bote

Ich bring die Post
Sicherheitslücken im freien Editor Notepad++ seit Monaten ungepatcht

Notepad++ Logo


Sicherheitsforscher erheben Vorwürfe gegen den Entwickler des freien und äußerst populären Texteditors Notepad++. Bereits im April haben sie insgesamt vier Sicherheitslücken gemeldet, die bislang jedoch nicht geschlossen wurde.

Die Kommunikation mit dem Entwickler verlaufe “zäh”, schreiben die Experten vom GitHub Security Lab (via heise). Obwohl man gleichzeitig mit Übermittlung der Schwachstellen Tipps gegeben habe, wie diese geschlossen werden können, sei bislang kein Fix verfügbar, obwohl es seit April insgesamt vier Updates für Notepad++ gab. Auch in der aktuellen Version 8.5.6 lassen sich die Lücken noch reproduzieren.

In einem Fall kommt es bei der Konvertierung von UTF16 zu UTF8 zu einem Buffer Overflow, wenn eine entsprechend präparierte Datei geöffnet wird. Auf diesem Weg könne Schadcode ins System eingeschleust werden. Diese Lücke ist mit dem Risikograd “hoch” klassifiziert, bei den anderen drei Lücken wird die Gefahr als “mittel” bezeichnet. Die Experten haben die vier Sicherheitslücken inzwischen dokumentiert, eine konkrete Angriffsmethode beschreiben sie aber nicht.

Solange man keine Dateien aus unbekannten Quellen öffnet, hält sich das Risiko in Grenzen, allerdings muss ich selbst zugeben, bei Textdateien kein besonders ausgeprägtes Risikobewusstsein zu haben. Zumindest bis heute.

zum Artikel...
 
Oben