Notepad++ 是代碼洞由洞藍(lán)點(diǎn)網(wǎng)一款頗為知名的開源代碼編輯器，由于用戶非常多因此也有安全研究人員針對(duì) Notepad++ 進(jìn)行檢查而且也發(fā)現(xiàn)不少安全漏洞，編輯不修布漏其中有漏洞 CVSS 評(píng)分為 7.8 分 / 10 分，器N全漏三亞外圍工作室（外圍）vx《1662-044-1662》提供外圍女上門服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)屬于高危漏洞。存安

比較尷尬的于開事研究人員早在 2023 年 4 月底就已經(jīng)向開發(fā)者通報(bào)了漏洞，但直到 Notepad++ v8.5.6 版發(fā)布后開發(fā)者仍然沒有修復(fù)漏洞。發(fā)者復(fù)研

由于留給開發(fā)者的究人時(shí)間已經(jīng)超過了三個(gè)月，因此研究人員選擇根據(jù)披露政策公開漏洞和 PoC 即概念驗(yàn)證程序，代碼洞由洞藍(lán)點(diǎn)網(wǎng)以提醒 Notepad++ 用戶注意安全以及敦促 Notepad++ 開發(fā)者進(jìn)行修復(fù)。編輯不修布漏三亞外圍工作室（外圍）vx《1662-044-1662》提供外圍女上門服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)

以下是器N全漏相關(guān)信息：

涉及軟件：Notepad++ 研究人員：GitLab 平臺(tái)安全研究員 Jaroslav Loba?evski (@JarLob)

漏洞編號(hào)：CVE-2023-40031、CVE-2023-40036、存安CVE-2023-40164、于開CVE-2023-40166

以下是發(fā)者復(fù)研漏洞信息：

CVE-2023-40031：Utf8_16_Read::convert 中堆緩沖區(qū)寫入溢出，漏洞發(fā)生原因是究人該函數(shù)存在缺陷。

CVE-2023-40036：CharDistributionAnalysis::HandleOneChar 中的代碼洞由洞藍(lán)點(diǎn)網(wǎng)全局緩沖區(qū)讀取溢出，攻擊者可以制作特定文件導(dǎo)致全局緩沖區(qū)溢出進(jìn)行利用。

CVE-2023-40164：nsCodingStateMachine::NextState 中的全局緩沖區(qū)讀取溢出。

CVE-2023-40166：FileManager::detectLanguageFromTextBegining 中的堆緩沖區(qū)讀取溢出。

完整報(bào)告請(qǐng)看：https://securitylab.github.com/advisories/GHSL-2023-092_Notepad__/#resources