Notepad++ 8.5.7 schließt vier Sicherheitslücken

Der Entwickler des Open-Source-Texteditors Notepad++ hat das Sicherheitsupdate Notepad++ 8.5.7 veröffentlicht. Das aktuelle Update schließt vier Sicherheitslücken im Client und bringt darüber hinaus weitere Änderungen mit sich.

Benutzer können das Update installieren, indem sie das Fragezeichen-Symbol in der Benutzeroberfläche von Notepad++ auswählen und dann im sich öffnenden Menü Notepad++ aktualisieren wählen. Für neue Nutzer und alle, die es vorziehen, die neueste Version manuell herunterzuladen, gibt es sie wie immer auf der offiziellen GitHub-Projektseite. Auf der Webseite ist auch die portable Version zu finden.

Die Sicherheitsfixes

Die Sicherheitsprobleme wurden dem Projekt bereits vor einiger Zeit gemeldet und kürzlich veröffentlicht. Ein Problem, CVE-2023-40031, hat einen hohen Schweregrad, die anderen drei Probleme, CVE-2023-40036, CVE-2023-40164 und CVE-2023-40166, einen mittleren Schweregrad.

Das Problem, das als schwerwiegend eingestuft wurde, ist ein Heap-Puffer-Schreibüberlauf in Utf8_16_Read::convert, der Konvertierungen zwischen UTF8 und UTF16 verarbeitet. Bei erfolgreicher Ausnutzung des Problems kann beliebiger Code ausgeführt werden.

CVE-2023-40031 beschreibt ein globales Puffer-Leseüberlauf-Problem. Das Laden einer speziell präparierten Datei könnte dazu führen, dass "die Grenzen eines global zugewiesenen Objektpuffers überschritten werden". Der Sicherheitsforscher, der das Problem meldete, wies darauf hin, dass dadurch "interne Speicherzuweisungsinformationen" verloren gehen könnten.

CVE-2023-40036 und CVE-2023-40164 beschreiben ebenfalls Pufferüberlaufprobleme. Die Ausnutzbarkeit des Problems "ist nicht klar", so der Forscher, aber diese könnten auch "verwendet werden, um Informationen über die interne Speicherzuweisung auszulassen".

Die nicht sicherheitsrelevanten Änderungen in Notepad++ 8.5.7

Die Anwendung uninstall.exe von Notepad++ wurde signiert, was per Definition eine Sicherheitsverbesserung darstellt.

Die übrigen Änderungen sind die folgenden:

  • Behebung eines potenziellen Speicherlecks beim Lesen von UTF8-16-Dateien.
  • Die Leistung beim Verschieben von Tabs wurde verbessert, während die Dokumentenliste angezeigt wird.
  • Option zur Warnung vor 2 GB großen Dateien für x64 hinzugefügt.
  • Ein Problem bei der Trennung von geklonten Dokumenten nach einem Neustart der Anwendung wurde behoben.
  • Es wurde ein Problem beim Speichern von Dateisitzungen behoben, wenn die Datei schreibgeschützt ist.
  • Es wurde ein Problem behoben, bei dem nach dem Laden von Sitzungsdateien falsche Dateien aktiviert wurden.
  • Die Anzeige des Wertes der Produktversion in den Dateieigenschaften wurde korrigiert.
  • Der Hinweis im Installationsprogramm wurde geändert.

Abschließende Worte

Notepad++-Benutzer sollten so schnell wie möglich auf die neue Version aktualisieren, um die Sicherheitsprobleme im Texteditor zu beheben. Obwohl die Probleme durch speziell präparierte Dateien ausgenutzt werden können, wird dennoch empfohlen, sofort zu aktualisieren.