BDU:2023-06088: Уязвимость функции CharDistributionAnalysis::HandleOneChar текстового редактора NotePad++, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Описание уязвимости Уязвимость функции CharDistributionAnalysis::HandleOneChar текстового редактора NotePad++ связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации
Вендор Don Ho
Наименование ПО Notepad++
Версия ПО до 8.5.6 включительно
Тип ПО Данные уточняются
Операционные системы и аппаратные платформы Данные уточняются
Тип ошибки Выход операции за границы буфера в памяти, Копирование буфера без проверки размера входных данных (классическое переполнение буфера)
Идентификатор типа ошибки CWE-119, CWE-120
Класс уязвимости Уязвимость кода
Дата выявления 25.08.2023
Базовый вектор уязвимости
  • CVSS 2.0: AV:L/AC:L/Au:N/C:C/I:N/A:N
  • CVSS 3.0: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,9) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)
Возможные меры по устранению уязвимости
Компенсирующие меры:
- открытие файлов, полученных из недоверенных источников с использованием замкнутой программной среды;
- использование антивирусного программного обеспечения для проверки загружаемых файлов и выявления средств эксплуатации уязвимости;
- ограничить возможность внедрения и выполнения установочных программ из недоверенных источников (ASAN-сборок Notepad ++).
Результаты тестирования обновлений:
  • Обновление Notepad++
  • Статус уязвимости Потенциальная уязвимость
    Наличие эксплойта Существует в открытом доступе
    Способ эксплуатации
    • Манипулирование структурами данных
    Способ устранения Данные уточняются
    Информация об устранении Информация об устранении отсутствует
    Ссылки на источники
    Идентификаторы других систем описаний уязвимостей
    Прочая информация Данные уточняются