Notepad++ gehört wahrscheinlich zu den beliebtesten Programmen, um Textinhalte anzuzeigen. Ich nutze selbst das Tool gern. Deshalb hat mich einiges überrascht. Denn jetzt ist die Rede davon, dass Sicherheitslücken in den Editor einfach seit Monaten nicht geschlossen werden. Das ist bei einem Tool, mit dem man Programmcode schreiben und lesen kann, eine eher blöde Idee. Aber was weiß ich da schon? Was macht man denn da nun? Soll man sich unter Windows weiterhin auf das Tool verlassen? Oder eher nicht? Es gibt ja Alternativen.
Was ist denn Notepad++ schon wieder?
Da der schnöde Editor in Windows eher nur eingeschränkt benutzbar ist, wurde vor nun 20 Jahren das Tool Notepad++ veröffentlicht. Das Programm unterstützt ASCII, Unicode, kann Quelltext anzeigen, Syntax Highlightning und etliches mehr. Ich kann, wenn ich will, mir verschiedenste Dateien in Tabs organisieren. Wenn ich in meinem Job Cluster analysiere, kommt es schon vor, dass ich gleichzeitig alle Clusterlogs des Verbunds offen habe. Dafür war Notepad++ wunderbar.
Um die 80 Programmiersprachen beherrscht das Tool und kann somit die Syntax richtig anzeigen. Das hat es auch für alle möglichen Programmierer sinnvoll gemacht, sich damit zu beschäftigen. Ja, ich weiß, da gibt es auch viele andere Tools. Ich will halt einfach mal aufzeigen, wofür denn Notepad++ so eingesetzt werden kann. Oder vielmehr konnte. Denn ob man das wirklich noch kann, kann ich im Moment nicht zweifelsfrei beurteilen, da ich da etwas gelesen habe, was mich dann schon erschrickt.
Was kümmern mich Sicherheitslücken?
Beim Martin Geuß las ich nun die Information, dass seit nun fast einem halben Jahr mehrere Sicherheitslücken bei Notepad++ bekannt sind, die der Anbieter einfach nicht schließt. Es wurden insgesamt 4 Probleme gefunden, die unter anderem auch als hochriskant eingestuft wurden. Kommt man in die Verlegenheit, von UTF16 nach UTF8 zu konvertieren, kann es zu einem Buffer Overflow kommen, womit dann das Einschleusen von Schadcode möglich ist.
Es ist zwar so, dass sich das Risiko allenfalls in Grenzen hält. Vor allem, wenn man mit Notepad++ nur Dateien öffnet, die nicht aus unbekannten Quellen stammen. Allerdings ist das ja immer so eine Sache. Wir im Support erhalten jede Menge Dateien zur Analyse. Das bringt der Job einfach mal so mit sich. Wenn ich nun irgendeine Programmdatei auswerten müsste, könnte da schon ein Risiko bestehen. Und was könnte dann am Ende passieren? Vielleicht wird ja meine Kommunikation ausspioniert? Wer weiß?
Jedenfalls erzähle ich euch doch immer etwas davon, dass ihr eure Software aktuell halten sollt, ja? Auch für Notepad++ kommen regelmäßig Updates. Aber keine der Aktualisierungen hat die Sicherheitslücken im Blick gehabt. Und auf Anfragen regiert der Anbieter eher nur sehr zäh. Es wirkt dann eher so, als ob ihn das eher weniger interessieren würde. Jetzt nehme ich nicht an, dass das auch so ist. Aber am Ende verunsichert das etliche Nutzer dieses extrem beliebten Editors.
Wie nun weiter?
Ich schrieb ja oben, dass sich das Problem in Grenzen hält, so lange ihr mit Notepad++ keine Dateien öffnet, von denen ihr nicht wisst, woher die stammen. Ich meine, das soll man ja ohnehin nicht machen. Mit keiner Software. Jedenfalls ist ein Risiko-Szenario nicht so wahnsinnig wahrscheinlich. Dennoch könnte man ernsthaft darüber nachdenken, den Editor zu wechseln. Was sollte denn dagegen sprechen? Am Ende tut es der Editor in Windows ja auch.
Ich meine, es muss ja nicht gleich der Visual Studio Editor sein, obwohl der problemlos funktioniert in den Szenarien, in denen ich ihn brauchen würde. Aber der ist dann ja doch etwas fett. Ich könnte aber TextPad, UltraEdit, Atom oder gar Vim und jede Menge weiterer Editoren verwenden. Man muss für sich selbst beurteilen, ob ein Wechsel wirklich notwendig ist. Ich würde eher vorsichtig beim Umgang mit zugeschickten / heruntergeladenen Dateien sein. Aber das halten wir ja ohnehin so.
Also viel Lärm um nichts? Alles nicht der Rede wert? Nein, glaube ich nicht. Wir reden immerzu davon, dass in der heutigen Zeit mit all den Cyber-Cyber-Sachen Sicherheitslücken schnell geschlossen werden müssen. Und dann schert sich Don Ho als Entwickler von Notepad++ einen feuchten Dreck darum. Das darf man kritisieren. Und man darf auch gern den Editor wechseln. Aber es gibt wirklich schlimmere Sicherheitslücken auf der Welt. Insofern muss man das schon einordnen.
Das mit der Sicherheitslücke in NotePad++ habe ich auch bei Dr.Windows gelesen. Ich finde das schon ziemlich heftig. Ich nutze schon seit ewigen Zeiten PSPad als Texteditor. Zwischenzeitlich hatte ich auch kurz Visual Studio installiert. Der ist mir aber „zu fett“. Den habe ich wieder deinstalliert.
Drama! Sicherheitslücke wurde von Höckern – ähm selbsternannten Sicherheitsforschern entdeckt – die Welt geht unter!
Hallo,
vor ein paar Tage hat der, im verlinkte Beitrag genannte Verlag, auch einen Artikel über CVS und CURL veröffentlicht.
Heise: Artikel falscher CVE-Eintrag: Die kritische curl-Lücke, die keine war .
Für die Migration von meinen PHP Scripten habe ich Rector – mutig auf einer Windows 11 Umgebung installiert. Lasse ich das PHP Script laufen springt mein Viren – haste du nicht gesehen – Schutzschirm an und sagt mir, dass sie mich vor bösen Viren schützen muss. Mein PHP Script wird in Quarantäne verschoben. Die Sicherheitsforscher auf meinem Rechner finden auch laufend etwas total Wichtiges.
Notepade++ wurde noch nicht in Quarantäne verschoben. Wir Sicherheitsforscher müssen die Presse informieren?
.
Jetzt haben die Notepade++ Entwickler gewagt, vier Updates zu machen und den Göttern keine Füße geküsst? Und müssen an den Pranger – wie im Mittelalter? Bewerft Sie mit Tomaten! oder hängt sie? oder zumindest löscht Notepade ++?
Wenn ich in wenigen Wochen Porträts zeichnen kann – freue ich mich auf meine offline Zeit. Ich bewerfe dann die Passenten mit Tomaten. Ich bin in Paris im Künstlerviertel und bin der, der Tomaten dabei hat.
Sorry – aber überprüfbare Meldungen habe ich nicht eine gelesen. Ich kann überhaupt nicht abschätzen – was die Forscher als Sicherheitslücke bezeichnen.
Der Weltuntergang in Worten:
Notepad++ liest und schreibt über das Ende einer Puffergrenze hinaus, wenn eine manipulierte Datei geöffnet wird.
Zitat
Die Funktion Utf8_16_Read::convert ordnet einen neuen Puffer [1] für die Konvertierung von UTF16 nach UTF8 zu. Sie berechnet die neue Puffergröße unter der Annahme, dass im schlimmsten Fall für je zwei UTF16-kodierte Eingabebytes drei UTF8-Bytes benötigt werden [2]. Wenn die Eingabelänge jedoch eine ungerade Anzahl von Bytes enthält, stimmt die Berechnung nicht. Wenn zum Beispiel im PoC ein zweites Bytepaket verarbeitet wird, wird len auf 9 gesetzt und newSize wird zu 14 (9 + 9 / 2 + 1). Nachdem die ersten 8 Eingabebytes verbraucht sind ([3] und [4]), ist pCur bereits um 12 Elemente [5] in das 14 Elemente umfassende Array m_pNewBuf verschoben. Utf16_Iter::operator++ verbraucht das letzte 9. Byte und das 10. Byte über die Eingabelänge hinaus. Da Notepad++ jedoch Dateien in Chunks liest, stammt das 10. Byte aus einem gültigen Puffer, enthält aber die alten Chunk-Daten. In [5] werden dann drei Bytes in pCur geschrieben, wodurch das Array überläuft.
Das Ende Utf8_16_Read
General indication: „Die Walküre“ – Wotan’s monologue: Das Ende
https://www.youtube.com/watch?v=zVptVWN2oh8
Wie komme ich an manipulierte UFT8_16 Dateien?
Schönes Wochenende
Ralf
Also, ich benutze Notepad++ auch regelmäßig, weil es einfach der beste Testeditor ist. Ich wechsle auch nicht. Ich öffne damit sowieso nur meine Textdateien.
Ich bin auch ein sehr intensiver Nutzer von NotePad++. Sobald allerdings Sicherheitslücken bekannt werden uns es passende Patches gibt, sollten diese umgehend installiert werden. Andernfalls ist auf andere Tools zu wechseln, wäre meine Empfehlung. Aber das muss jeder für sich selber entscheiden und die Gefahren abwägen.