La version 8.5.7 de Notepad++ a été publiée pour corriger plusieurs vulnérabilités de sécurité signalées par Jaroslav Lobačevski, chercheur en sécurité sur GitHub. Ces vulnérabilités peuvent potentiellement conduire à l'exécution de code si elles sont exploitées.

Selon le rapport, les failles corrigées sont :

·      CVE-2023-40031 : Cette vulnérabilité implique un débordement de tampon dans la fonction Utf8_16_Read::convert, qui résulte d'hypothèses incorrectes sur les conversions d'encodage UTF16 vers UTF8. Elle a reçu une note CVSS v3 élevée de 7.8 et est potentiellement capable d'exécuter du code arbitraire.

·      CVE-2023-40036 : Cette vulnérabilité est un débordement de mémoire tampon globale dans CharDistributionAnalysis::HandleOneChar, causé par un ordre d'indexation de tableau basé sur la taille de la mémoire tampon. Elle est aggravée par l'utilisation de la bibliothèque uchardet.

·      CVE-2023-40164 : Cette vulnérabilité est un autre débordement de mémoire tampon global, cette fois dans nsCodingStateMachine::NextState. Elle est liée à une version spécifique de la bibliothèque uchardet utilisée par Notepad++ et est vulnérable à cause de sa dépendance sur la taille du tampon charLenTable.

·      CVE-2023-40166 : Cette vulnérabilité implique un débordement de mémoire tampon dans FileManager::detectLanguageFromTextBegining, qui se produit en raison de l'absence de vérification de la longueur de la mémoire tampon lors de la détection de la langue d'un fichier.

Les utilisateurs sont vivement encouragés à mettre à jour Notepad++ version 8.5.7 pour corriger ces vulnérabilités de sécurité et d'autres bogues répertoriés dans le journal des modifications. Il est essentiel de maintenir les logiciels à jour pour préserver la sécurité de vos systèmes.