Schwachstellen in Notepad ++ (Sept. 2023)

[English]Im beliebten Editor Notepad ++ finden sich wohl mehrere Schwachstellen (CVE-2023-40031, CVE-2023-40036, CVE-2023-40164, CVE-2023-40166), die von einem Sicherheitsforscher an den Entwickler gemeldet wurden. Die Einstufung der Schwachstellen reicht von mittel bis hoch. Obwohl diese Meldung bereits einige Monate her ist, gibt es bisher kein Sicherheitsupdate für Notepad ++, obwohl in der Zwischenzeit mehrere Produkt-Updates erfolgten. Wann ein Update bereitsteht, ist derzeit offen.

Die Entdeckung der -Schwachstellen (CVE-2023-40031, CVE-2023-40036, CVE-2023-40164, CVE-2023-40166) im Editor Notepad ++ für Windows erfolgte durch den Sicherheitsforscher Jaroslav Lobacevski. Dieser hat die Details auf seiner dieser GitHub Security-Seite veröffentlicht. Die Buffer-Overflow-Schwachstelle CVE-2023-40031 wird bezüglich des Risikos als hoch bewertet. Denn ein Angreifer könnte eine Datei präparieren, die beim Öffnen in Notepad++ Schadcode auf das betreffende Windows-System schiebt.

Wie das genau mit der Codeausführung passiert, ist allerdings unklar. Das Problem ist wohl die Unicode-Darstellung bzw. die Konvertierung von UTF16 zu UTF8, wo es zu einem Pufferüberlauf kommen kann. Den Angaben eines Sicherheitsforschers entnehme ich, dass das Ganze durch ein Python-Script, welches geladen wird, ausgelöst werden kann. Dieses Szenario kann zur Ausführung von beliebigem Code führen, wie der Entdecker der Schwachstelle schreibt. Die Schwachstelle ließe sich durch überprüfen der erforderlichen Puffergröße im Programmcode eliminieren.

Ich halte aktuell das Risiko persönlich für begrenzt, da der Nutzer ja dazu überredet werden muss, die fremde Datei zu öffnen – und normale Windows-Nutzer werden Notepad ++ eher nicht einsetzen. Wenn ich es richtig interpretiere, müsste der Nutzer zudem über das Encoding-Menü eine Konvertierung der Textdatei von UTF16 zu UTF8 anstoßen, um den Pufferüberlauf zu provozieren. Aktuell stellt es sich für mich so dar, dass die Schwachstellen vorhanden sind. Nutzer von Notepad ++ sollten sich darüber klar sein, das übersandte Fremddateien beim Öffnen ein solches Risiko darstellen. Die restlichen CVEs sind im Risiko als moderat eingestuft, wie heise in diesem Artikel schreibt.

Der Sicherheitsforscher Jaroslav Lobacevski hat die Schwachstellen zum 28. April 2023 an den Entwickler des Notepad++ Editors gemeldet. Seit dieser Zeit ist aber nichts passiert, obwohl ein Vorschlag für den Fix erfolgt. Im Mai und im Juni 2023 kamen Updates des Editors Notepad++ heraus, ohne dass die Schwachstelle behoben wurde. Im Eintrag auf GitHub Security lässt sich die zähe Kommunikation zwischen Sicherheitsforscher Jaroslav Lobacevski mit dem Entwickler der Software nachlesen.

Obwohl der Entwickler Produkt-Updates veröffentlicht hat, wurden die Schwachstellen nicht geschlossen. Zudem führte der Entwickler aus, dass Notepad v8.5.4 sich nicht mit AddressSanitizer (ASAN) als Sicherheitsoption kompilieren ließe. Im Juli 2023 wurde dann doch bestätigt, dass die v8.5.4 sich mit ASAN übersetzen lässt. Der Entwickler hat aber weitere Notepad++ Updates veröffentlicht, ohne die gemeldeten Schwachstellen zu beheben.

Nachdem der Entwickler mehrfach auf die Probleme hingewiesen wurde, diesem ein Proof of Concept im Binärformat (statt als Python Script) übersandt. Eine Reaktion erfolgte bisher nicht, obwohl weitere Updates des Editors erfolgten. Am 21. August 2023 hat der Sicherheitsforscher dann seine Erkenntnisse veröffentlicht. Wann ein Update zum Fixen der Schwachstellen kommt, ist weiter unklar – auch eine Nachfrage von heise hat da keine Klarheit gebracht. Allerdings gibt es diesen 2 Tage alten Kommentar des Entwicklers, dass er die Aufforderung zum Beseitigen der Schwachstelle akzeptiert hat – die Veröffentlichung der Schwachstellen scheint funktioniert zu haben.