Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2023-06088: Уязвимость функции CharDistributionAnalysis::HandleOneChar текстового редактора NotePad++, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Описание уязвимости	Уязвимость функции CharDistributionAnalysis::HandleOneChar текстового редактора NotePad++ связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации
Вендор	Don Ho
Наименование ПО	Notepad++
Версия ПО	до 8.5.6 включительно
Тип ПО	Данные уточняются
Операционные системы и аппаратные платформы	Данные уточняются
Тип ошибки	Выход операции за границы буфера в памяти, Копирование буфера без проверки размера входных данных (классическое переполнение буфера)
Идентификатор типа ошибки	CWE-119 CWE-120
Класс уязвимости	Уязвимость кода
Дата выявления	25.08.2023
Базовый вектор уязвимости	CVSS 2.0: AV:L/AC:L/Au:N/C:C/I:N/A:N CVSS 3.0: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)
Возможные меры по устранению уязвимости	Компенсирующие меры: - открытие файлов, полученных из недоверенных источников с использованием замкнутой программной среды; - использование антивирусного программного обеспечения для проверки загружаемых файлов и выявления средств эксплуатации уязвимости; - ограничить возможность внедрения и выполнения установочных программ из недоверенных источников (ASAN-сборок Notepad ++). Результаты тестирования обновлений: Обновление Notepad++
Статус уязвимости	Потенциальная уязвимость
Наличие эксплойта	Существует в открытом доступе
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Данные уточняются
Информация об устранении	Информация об устранении отсутствует
Ссылки на источники	https://vuldb.com/ru/?id.238065 https://securitylab.github.com/advisories/GHSL-2023-092_Notepad__/
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2023-40036
Прочая информация	Данные уточняются

Последние изменения