Notepad++: Boşluklar kötü amaçlı kod ve komutların girmesine izin verir

kapanış bildirimi

Bu makale İngilizce olarak da mevcuttur. Teknik yardımla tercüme edildi ve yayınlanmadan önce editoryal olarak gözden geçirildi.

Notepad++ için başka bir güncelleme daha mevcut. İkisi yüksek riskli olarak sınıflandırılan ve saldırganların içeri girip komutları ve hatta kötü amaçlı kodları çalıştırmasına olanak tanıyan üç güvenlik açığını kapatır.

Duyurudan sonra devamını okuyun

Notepad++ v8.9.6.1'in yayın duyurusunda geliştirici Don Ho, yeni sürümün üç güvenlik açığını giderdiğini yazıyor. “Config.xml” yapılandırma dosyasında “commandLineInterpreter” parametresi için herhangi bir kısıtlama yoktur, bu nedenle kullanıcı haklarına sahip saldırganlar girişi değiştirebilir veya kötü amaçlı .lnk kullanarak kendi dosyalarını başlatabilir. Bu dosyanın başlatılması için kurbanların “Dosya” – “Geçerli Klasörü Aç” seçeneğine gitmesi ve ardından “Komut İstemi (cmd)” seçeneğini seçmesi gerekir. Çözüm, izin verilen girişleri cmd.exe, powershell.exe veya bash.exe ile sınırlamak ve yolu kontrol edip kullanıcılara sormaktır (CVE-2026-48778, CVSS) 7.8risk”yüksek“).

Benzer bir güvenlik açığı ” etiketini açar“içinde”“shortcuts.xml” dosyasında “. Notepad++ menüsündeki “Çalıştır” altındaki ilgili giriş tıklatıldıktan sonra oraya yerleştirilen her şeyi çalıştırır. Yürütmeden önce kullanıcıyı sorgulamak da bu durumda yardımcı olacaktır veya programın GUI'si aracılığıyla oluşturulmamış yeni girişler ortaya çıkarsa bir uyarı verilecektir (CVE-2026-48800, CVSS) 7.8risk”yüksek“). Üçüncü güvenlik açığı, yerel işlemlerin Notepad++'a “WM_COPYDATA” mesajları göndermesine izin verir; Hazırlanmış isteklerin kullanılması Notepad++'ın çökmesine neden olur ve hizmet reddi mümkündür (CVE-2026-48770, CVSS) 5.0risk”orta“).

Yeni sürüm, Notepad++ proje indirme sayfasından çeşitli formatlarda indirilebilir. Kullanıcıların şu anda güncellenmiş yazılımı manuel olarak indirip yüklemesi gerekiyor. Notepad++ v8.9.5'in yerleşik güncelleme mekanizması, yazılımın güncel olduğunu bildiriyor: Ho henüz yeni sürümler yayınlamadı (v8.9.6 dahil).

Geçen haftanın sonlarında Don Ho, Notepad++ v8.9.6'yı yayınladı. Yükleyicideki bir güvenlik açığı kapatıldı.


(Bilmiyorum)


Yayımlandı

kategorisi

yazarı:

Etiketler:

Yorumlar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir