16/12/2024

Actu CybersécuritéLogiciel - OS

Passez à Notepad++ 8.5.7 pour vous protéger de quatre failles de sécurité !

Une nouvelle version de Notepad++ a été mise en ligne : Notepad++ 8.5.7 ! Cette version mérite une attention particulière, car elle permet de corriger plusieurs failles de sécurité, dont des failles zero-day. La mise à jour est recommandée.

Pour rappel, Notepad++ est un éditeur de code gratuit et populaire qui prend en charge de nombreux langages de programmation et qui intègre de nombreuses fonctions ! Cela est d'autant plus vrai que l'on peut lui ajouter des fonctionnalités grâce à des plugins.

Le chercheur en sécurité de GitHub, Jaroslav Lobačevski, a fait la découverte de plusieurs failles de sécurité dans Notepad++ 8.5.2. Plus précisément, il a fait la découverte de 4 failles de sécurité :

  • CVE-2023-40031 : cette vulnérabilité de type buffer overflow affecte la fonction Utf8_16_Read::convert
  • CVE-2023-40036 : cette vulnérabilité de type buffer overflow affecte CharDistributionAnalysis::HandleOneChar
  • CVE-2023-40164 : cette vulnérabilité de type buffer overflow affecte la fonction nsCodingStateMachine::NextState, à cause d'une version vulnérable de la bibliothèque uchardet utilisée par Notepad++
  • CVE-2023-40166 : cette vulnérabilité de type heap buffer overflow se situe FileManager::detectLanguageFromTextBegining

Le chercheur en sécurité a mis en ligne un article technique très complet où vous pouvez obtenir des détails supplémentaires.

La vulnérabilité la plus sérieuse est associée à la référence CVE-2023-40031 qui hérite d'un score CVSS de 7.8 sur 10 et qui peut mener, en principe, à une exécution de code arbitraire sur la machine ciblée. Ceci pourrait passer par un fichier malveillant ouvert dans Notepad++. Toutefois, un utilisateur a commenté le GitHub de Notepad++ pour remettre en cause cette possibilité. D'après lui, il n'y a pratiquement aucune chance que cette vulnérabilité permette d'exécuter du code arbitraire sur la machine.

Si comme moi, vous êtes un utilisateur de Notepad++ alors, n'attendez pas : effectuez la mise à jour de l'application sur votre machine ! Ceci est d'autant plus important qu'il y a des exploits PoC pour ces vulnérabilités, ce qui pourrait donner des idées à certains cybercriminels...

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.