Sicherheitslücken im freien Editor Notepad++ seit Monaten ungepatcht
Sicherheitsforscher erheben Vorwürfe gegen den Entwickler des freien und äußerst populären Texteditors Notepad++. Bereits im April haben sie insgesamt vier Sicherheitslücken gemeldet, die bislang jedoch nicht geschlossen wurde.
Die Kommunikation mit dem Entwickler verlaufe “zäh”, schreiben die Experten vom GitHub Security Lab (via heise). Obwohl man gleichzeitig mit Übermittlung der Schwachstellen Tipps gegeben habe, wie diese geschlossen werden können, sei bislang kein Fix verfügbar, obwohl es seit April insgesamt vier Updates für Notepad++ gab. Auch in der aktuellen Version 8.5.6 lassen sich die Lücken noch reproduzieren.
In einem Fall kommt es bei der Konvertierung von UTF16 zu UTF8 zu einem Buffer Overflow, wenn eine entsprechend präparierte Datei geöffnet wird. Auf diesem Weg könne Schadcode ins System eingeschleust werden. Diese Lücke ist mit dem Risikograd “hoch” klassifiziert, bei den anderen drei Lücken wird die Gefahr als “mittel” bezeichnet. Die Experten haben die vier Sicherheitslücken inzwischen dokumentiert, eine konkrete Angriffsmethode beschreiben sie aber nicht.
Solange man keine Dateien aus unbekannten Quellen öffnet, hält sich das Risiko in Grenzen, allerdings muss ich selbst zugeben, bei Textdateien kein besonders ausgeprägtes Risikobewusstsein zu haben. Zumindest bis heute.
Themen:
- Sicherheit
- Software
Über den Autor
Martin Geuß
Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als 17 Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!