Estas vulnerabilidades, descubiertas por el investigador en seguridad Jaroslav Lobačevski, aún no han sido parcheadas, por lo que lo más recomendable sería desinstalar la aplicación si ya la tienes y esperar a que el equipo resuelva este problema lo antes posible.
Las vulnerabilidades tienen el identificador CVE-2023-40031, CVE-2023-40036, CVE-2023-40164, y CVE-2023-40166. Básicamente se aprovechan del desbordamiento de lectura y escritura del búfer a partir de distintas funciones que utiliza Notepad++ para ejecutar diversas acciones.
Una de las vulnerabilidades hace referencia a la función denominada ‘Utf8_16_Read::convert’, la cual usa Notepad++ para convertir la codificación UTF1nike air max plus yeezy adidas blonde wig jordan 4 red thunder nike air max 90 colorways cheap jordan 4 nike air jordan 11 adidas outlet online jordan’s store rose sex toy adidas yeezy foam runner Real Hair Wigs nfl lions adidas ultraboost shoes adidas ultraboost6 en UTF8. Según afirma el investigador, esta función tiene un problema, ya que asume que cada dos bytes codificados en UTF16, son necesarios 3 bytes codificados en UTF8. De esta forma, si el chunk de bytes tiene un valor impar como 9, el cálculo se hace incompatible, resultando en un desbordamiento del búfer.
Este desbordamiento es provocado también cuando Notepad++ llama a la función ‘CharDistributionAnalysis::HandleOneChar’, ya que alguien con malas intenciones podría beneficiarse de un exploit que crease un archivo capaz de hacer desbordar el búfer de lectura global.
Como este tipo de vulnerabilidades existen otras que, al hacer que Notepad++ utilice las funciones ‘nsCodingStateMachine::NextState’ y ‘FileManager::detectLanguageFromTextBegining’, se desborde el búfer de lectura y escritura, permitiendo a los atacantes a ejecutar código arbitrario en el equipo.
GitLab ha publicado un completo informe de todas estas vulnerabilidades y están a la espera de confirmación por parte de Notepad++, por lo que te recomendamos esperar a la próxima versión de la herramienta, ya que se habrán corregido todos estos errores.