Sicherheitsforscher haben Ende April '23 vier Sicherheitslücken an die Entwickler von Notepad++ geschickt. Die Probleme sind trotz der zahlreichen Updates seither nicht behoben worden. Im schlimmsten Fall kann Schadcode auf den Computer gelangen. Wie ein Angriff aussehen kann ist nicht bekannt; mit einer präparierten Datei kann jedoch ein Buffer Overflow provoziert werden.
Hab’ den Fehler gemacht, in die Kommentare zu schauen. “Gebt dem Mann Zeit, der macht das alles ganz alleine”
Grundsätzlich gehe ich da ja mit, nur sind seit der Meldung der Lücke im April mehrere neue Versionen erschienen. Wenn er dafür Zeit hat, kann er doch auch die Lücke schließen?
Aus der Disclosure Timeline lese ich auch etwas Inkompetenz und viel Desinteresse heraus. Schwach
Das wirkt auf mich etwas aufgebauscht.
Die haben einen BufferOverflow gefunden. Das ist ein Bug und eine potentielle Sicherheitslücke. Und der Entwickler reagiert nicht, also muss das veröffentlicht werden.
Ich bin weit davon entfernt, zu beurteilen, wie daraus eine Arbitrary Code Execution wird. Das wird zwar behauptet, aber nicht belegt. Gibt es einen Exploit?
Vor allem, wir reden hier von Notepad++, nicht openssl. Wie würde ein Angriffsszenario aussehen? Email mit manipulierem Anhang an eine Mitarbeiter:in, von der ich weiß, dass sie Notepad++ nimmt… Dann ist ACE natürlich eine Katastrophe, wenn der Exploit funktioniert…
Mein Gefühl ist, dass wir hier mit Tools nach möglichen Sicherheitslücken suchen. Und das Finding dann medial ausschlachten. Der Bug gehört gefixt, aber muß das einem breiten Publikum kommuniziert werden. Solche Bugs sind nicht gerade selten.
Na ja, ein paar Dinge muss man schon berücksichtigen.
- Notepad++ ist relativ weit verbreitet. Das steigert das Risiko, das Angreifer sich für die Lücke interessieren werden. Insofern ist es schon wichtig, dass die Nutzer wissen, dass sie bei bestimmten Szenarien aufpassen müssen.
- Es spricht für die Sicherheitsforscher, dass sie zuerst den Entwickler kontaktieren und wenn dieser nicht reagiert, den Druck zu erhöhen und das Problem öffentlich zu machen ohne direkt den Angriff mitzuliefern. Sonst eskaliert das Problem. Deswegen wird es auch nicht öffentlich belegt.
- Ob nun Notepad++ oder OpenSSL ist erst mal irrelevant, wenn Codeschmuggel/-ausführung möglich sind. Es ist dann nur die Frage, wie leicht lässt sich das bewerkstelligen. Und das unterjubeln von manipulierten Textdateien ist erst mal einfach. Notepad++ wird gerne als Source Code-Editor oder zum Bearbeiten von Konfigurationsdateien verwendet.
Also ich persönlich habe Notepad++ als Standardeditor deaktiviert.
Also ich persönlich habe Notepad++ als Standardeditor deaktiviert.
Ich bereits vor vielen Jahren - es ist mir seinerzeit einfach zu oft abgestürzt.
Wär’ mir jetzt eigentlich noch nie passiert. Andererseits nutze ich das Ding meist nur, wenn ich XML oder JSON pretty printen möchte oder Configs anpasse. Nicht sonderlich anspruchsvoll. Den Rest machen meist VS und Rider.
“VS” - Visual Studio (für vieles zu fett) oder Visual Studio Code (headless Chrome mit allen impliziten Sicherheitsproblemen)?
Visual Studio. Ist ja auch kein Editor, sondern eine IDE. Aber wenn ich halt darin arbeite, verlasse ich sie selten, meinte ich damit.
Ah, ergibt Sinn.
Viele Programmierer oder auch einfach Leute die besser Editieren wollen, und (noch immer) Windows nutzen, werden früher oder später auf NP++ stoßen. Je nachdem wie signifikant die Person ist, kann das weitreichende Folgen haben.
Ein Haupt-Maintainer von Projekt X lädt sich n Repo zum testen runter. Er öffnet die Readme, mit NP++. Leider ist die Präpariert und er bekommt unbemerkt Schadsoftware. Ein paar Wochen später wird von “ihm” dann nicht nur normaler Code, sondern auch subtile Schadsoftware in das Projekt geschoben, was er maintained.Wäre o.g. maintainer ein Dev von OpenSSL, wäre jetzt eine Lücke in OpenSSL.
Wäre o.g. maintainer ein Dev von OpenSSL, wäre jetzt eine Lücke in OpenSSL.
Das wäre natürlich sehr ungewöhnlich. ;o)
Ist ja nur ein Beispiel. Außerdem depended OpenSSL auch wiederum auf anderen Paketen usw.
Ich bin weit davon entfernt, zu beurteilen, wie daraus eine Arbitrary Code Execution wird. Das wird zwar behauptet, aber nicht belegt. Gibt es einen Exploit?
Die Security-Welt hat sich an der Stelle etwas weitergedreht. Ein Exploit wird in der Regel aus mehreren Vulnerabilities zusammengesetzt. Wenn du in der Lage bist, Speicher zu überschreiben, bist du in der Lage, Code zu kontrollieren indem du die Daten modifizierst auf denen der Code basiert. Das wird zu 99% dafür sorgen dass es irgendeinen abstrusen Weg gibt, das Programm dazu zu zwingen, an eine vom Angreifer überschriebene und kontrollierte Sektion zu springen. Sobald das der Fall ist, gibt es Standard-Code der auf 3 gängigen Betriebssystemen auf den meisten Patch-Ständen effektiv wird und danach hochprivilegierte Rechte auf dem OS bereitstellt. Und danach gibt es kaufbare Malware die man danach durchziehen kann um Netzwerke zu übernehmen und Leute zu erpressen.
Und die ganzen wenns und abers im letzten Absatz sind der Grund, warum selbst diese Baustein-Lücken schnell geschlossen werden müssen. Jetzt kennt man sie, jetzt suchen einige bösartigen Menschen in dieser Welt nach dem einen Brückenstein zwischen einer potentiellen Sicherheitslücke und einer Spam-Mail-Welle gefolgt von SYSTEM-privilegien auf einer sehr grossen Menge an Systemen.
Und um ehrlich zu sein - bei sowas wie Notepad++ hast du eine Patch-Latenz von Monaten oder mehr. Das Ding installieren Leute und ignorieren es dann, weil “funtioniert doch”. “Warum soll man dann updaten, dann funktioniert doch nix mehr”. Grade bei sowas will man Patches schneller auf den Weg kriegen.
Das ist leider der Fluch des Erfolges in Software.
Nah. Es gibt sehr viele memory corruptions die es nur zu einem dos schaffen, meistens wegen effektiven exploit mitigations. Die frage ob es einen exploit gibt ist deshalb schon wichtig.
POC or GTFO
Tja… mit Linux wäre das nicht passiert. (Obligatorisch)
Reminder das Kate auch für Windows erhältlich ist
Ebenso übrigens GNU Emacs.
Reminder dass es WSL gibt, inkl. nativem vim, nano etc., und vor allem mit allen tools die dateien analysieren können etc.
Oder man benutzt eine VM, ist besser für die Analyse des verhaltens einer Software.Nein, WSL hat keine nativen Windowsanwendungen, sondern verwendet ein Linuxdateisystem. Mit “C:.…” kommst du in WSL-Anwendungen nicht weit.
Ein natives Vim für Windows existiert allerdings tatsächlich.
WSL kann Windows’ Programme ausführen, inkl. GUI Programmen wie zB. notepad. Das Dateisystem von Windows ist unter /mnt/c gemounted. Heißt wenn du einen lieblings hex editor oder exe disassembler hast, der nur auf Linux verfügbar ist, kannst du einfach zB.
hexedit /mnt/c/users/sonneborn/downloads/free-bobux.exebenutzen.Das Dateisystem von Windows ist unter /mnt/c gemounted.
Ja, das meinte ich. Persönlich empfinde ich das als äußerst lästig.
Ah, ein Softwareveganer.
Dann lass mal ne 32 oder 16 bit Anwendung in Windows laufen. Geht nicht? Wie Schade. Bei mir mit Wine schon. Und für native Anwendungen brauche ich ja sowieso keine Unterschiede zwischen 64 oder 32 bit oder sogar Zielarchitekturen zu beachten, ist ja sowieso alles Open Source und im AUR - ein Segen für meinen Pi auf Arch btw. Closed source, bezahlte Software wird sowieso völlig von FOSS Software ersetzt, meiner Erfahrung nach. Nur JetBrains Produkte sind es MMN das Geld wert, insbesondere sofern man ein Student, Lehrer, FOSS Dev, Startup etc. ist. Und auch JetBrains’ IDEs basieren auf der FOSS IntelIJ IDE.
Ich benutze Bogen bei dem Weg.
Aber Windows an Hand von Rückwärtskompatibilität zu kritisieren ist jetzt nicht so sinnvoll glaube ich. Das ist eines der wenigen Dinge, die Windows sehr gut macht (logisch, da ist ja auch viel Geld drin von Unternehmen, die ihre alte Software nicht patchen wollen)
Versuch mal eine 16 Bit Linux Anwendung unter einem modernen Linux zum laufen zu bringen! Da in Linux viel öfter dependencies aus dem System genommen werden statt in der binary mitgeliefert zu werden ist das auf einem aktuellen System praktisch unmöglich.
Dann lass mal ne 32 oder 16 bit Anwendung in Windows laufen. Geht nicht? Wie Schade. Bei mir mit Wine schon.
Bei mir mit Windows 11 auch.
Welche 16-Bit-Anwendung möchtest du denn 2023 noch unbedingt nutzen? Überhaupt gilt: wer unbedingt Windowsanwendungen braucht, für den ist Windows das einzig richtige Betriebssystem.
Arch ist übrigens laut GNU-Website keine freie Distribution, weil es weder Linux-libre als Standardkernel hat noch auf unfreie Repositorys verzichtet. Freeware ist keine freie Software. Ich selbst ersetze zusehends mehr freie und kostenlose Software durch kommerzielle Alternativen. Diese sind oft einfach performanter und besser zu bedienen.
Nebenbei bemerkt: Man kann Arch Linux auch blöd finden, ohne Windowsjünger zu sein.
Welche 16-Bit-Anwendung möchtest du denn 2023 noch unbedingt nutzen? Überhaupt gilt: wer unbedingt Windowsanwendungen braucht, für den ist Windows das einzig richtige Betriebssystem.
Ich hab tatsächlich eine :) https://www.pen-paper.at/index.php/downloads/download/12-shadowrun/80-nsrcg Ist wohl der letzte verbleibende Shadowrun 2/3 Charaktereditor. Läuft auch nicht mehr mit Win11, aber ganz gut mit Wine.
Welche 16-Bit-Anwendung möchtest du denn 2023 noch unbedingt nutzen?
Lego Island (der Installer). Und nein, das ist kein Schertz - Das Game hat immer noch eine aktive Community. Der YouTuber MattKC decompiled es gerade und möchte es auch patchen, zB. die Bewegungen/Rotationen von der Frametime unabhängig machen, und modden. Und genau so sind auch andere alte Games teilweise oder vollständig 16 Bit bzw. anderweitig nicht mit neuerem Windows kompatibel.
Überhaupt gilt: wer unbedingt Windowsanwendungen braucht, für den ist Windows das einzig richtige Betriebssystem.
Es kommt darauf an, was für Anwendungen. Spiele? Zu 75% nativ oder perfekt, meiner Erfahrung nach sogar ohne extra launch Optionen etc. Extra Programme von Herstellern für ihre Ach so tolle Produkte? Wine. Und im Falle eines Editors von hochrangigen YouTubern etc. funktioniert für das Ach so wichtige Photoshop oder Adobe Aftercut Pro Premiere Schlagmichtot auch immer noch eine Passthrough VM mit geteiltem Clipboard, aber immer noch Linux als Host und für alles andere.
Arch ist übrigens laut GNU-Website keine freie Distribution
Juckt mich auch nicht wirklich. Das einzige non-free auf meinen PCs von den offiziellen Repos sind die NVidia Treiber, und der Intel Microcode. Beides müsste ich auch haben, wenn Arch komplett “frei” wäre. Der Rest der nicht freien Sachen ist sowieso vom AUR oder Steam, also nicht wirklich teil von Arch selber. Solange etwas Open Source ist, finde ich es OK, auch wenn nicht unbedingt GPL oä. dran steht.
Diese sind oft einfach performanter und besser zu bedienen.
Ansichtssache, für mich ist GIMP und KDenlive besser zu bedienen als andere, kommerzielle Produkte. Ich bin aber auch kein User der unbedingt zB. eingebauten Content aware fill braucht, immerhin bin ich kein Editor für Cocomelon, wie du vielleicht.
Nebenbei bemerkt: Man kann Arch Linux auch blöd finden, ohne Windowsjünger zu sein.
Freilich, hab ich auch nix gegen gesagt. Für mich ist Arch einfach nur am besten geeignet. Für dich anscheinend nicht, auch gut.
Lego Island (der Installer).
Kannte ich noch gar nicht!
Und genau so sind auch andere alte Games teilweise oder vollständig 16 Bit bzw. anderweitig nicht mit neuerem Windows kompatibel.
Würde da nicht eine Dosbox reichen?
Extra Programme von Herstellern für ihre Ach so tolle Produkte? Wine. Und im Falle eines Editors von hochrangigen YouTubern etc. funktioniert für das Ach so wichtige Photoshop oder Adobe Aftercut Pro Premiere Schlagmichtot auch immer noch eine Passthrough VM mit geteiltem Clipboard, aber immer noch Linux als Host und für alles andere.
Das mag ja alles sein und streite ich ja auch gar nicht ab, aber spätestens, wenn man Linux eigentlich nur noch hochfährt, um darin andere Systeme zu nutzen, ist das eigentlich eine überflüssige Zwischenschicht m.M.n.
Das einzige non-free auf meinen PCs von den offiziellen Repos sind die NVidia Treiber, und der Intel Microcode. Beides müsste ich auch haben, wenn Arch komplett “frei” wäre.
Ja, aber der Punkt ist: du nutzt proprietäre Treiber? Damit nutzt du einen mindestens zum Teil proprietären Kernel, und zwar freiwillig. (Ich weiß nun nicht, wie gut die freien Nvidia-Treiber mittlerweile sind, aber selbst die Wahl einer Grafikkarte, die keine freien Treiber hat, war ja deine freie Entscheidung.) Und dann ist das ganze “haha mein System ist freier als wie das von Windowsern” halt letztendlich eine Aussage ohne Wert. Mal ganz abgesehen davon, dass “ich kann in einen Teil meiner Software reingucken” für die allermeisten Menschen auch nicht den geringsten Vorteil bietet.
Ansichtssache, für mich ist GIMP und KDenlive besser zu bedienen als andere, kommerzielle Produkte.
Zufall: die grauenhafte Bedienung von GIMP war einer der Gründe, warum ich es schon in den 90ern mit Linux keine Woche ausgehalten habe … :-) das Ding kann ja bis heute ohne Plugin nicht mal Pfeile zeichnen. Klar: scheint immer auch Geschmacksache zu sein.
Freilich, hab ich auch nix gegen gesagt.
Also dieser Dialog begann mit:
- Ich: Linuxnutzer, die überall ungefragt für Linux werben müssen, sind nervig. (Sinngemäß.)
- Du: Aber Windows!
Ich hab’ nicht mal mehr ein Windows… :-)
Würde da nicht eine Dosbox reichen?
Für das simple ausführen einiger Spiele schon. Nur frage ich mich, ob modding und auch das testen von decompilations einfach so funktioniert. Besagter YouTuber hat sich ebenfalls für Linux mit Wine entschieden.
Das mag ja alles sein und streite ich ja auch gar nicht ab, aber spätestens, wenn man Linux eigentlich nur noch hochfährt, um darin andere Systeme zu nutzen, ist das eigentlich eine überflüssige Zwischenschicht m.M.n.
Kommt darauf an, wie sehr du das verteilst. Falls du nur einige Programm in Windows nutzt, macht es schon Sinn mMn. Der Rest kann unter Linux laufen, debatierbar besser.
Ja, aber der Punkt ist: du nutzt proprietäre Treiber?
Solange, bis ich die 600€ für ne RX 6950 XT/RX 7700 XT/7800 XT habe, falls die letzten beiden gut genug für 4k sind. Dass NVidia im Zusammenspiel mit Linux (insbesondere Wayland) Trash ist konnte mein 12 jähriges Ich nicht wissen, und der liebe Tim von Hardwarerat auch nicht als er das Ding zusammengeschraubt hat.
AMD vertraue ich in soweit, dass die keine Scheiße mit ihrem microcode bauen. Und auf meinem ‘Server’ wären Sicherheitspatches doch sehr schön.Mal ganz abgesehen davon, dass “ich kann in einen Teil meiner Software reingucken” für die allermeisten Menschen auch nicht den geringsten Vorteil bietet.
Für Opa Rudolf, der von seinem Neffen Mint bekommen hat, vielleicht nicht, aber mir hat die Möglichkeit, zB. nach belieben auch Jahre alte Versionen aus dem Repo zu ziehen und zu Compilen und im source code fehlende Docs nachzuschauen schon sehr geholfen. Zudem kann es halt nicht zensiert werden, was jetzt wieder auch mit dem Gesetzesentwurf der Franzosen ein Thema ist. Photoshop gehört die nicht, du hast dir höchstens die Erlaubnis gemietet, das Programm zu nutzen. Die GPL von GIMP sagt quasi einfach nur aus, dass ich mit der Software alles machen kann, was ich will. Keine Einschränkungen. Hört sich für mich schon sehr viel eher nach “besitzen” an.
Zufall: die grauenhafte Bedienung von GIMP war einer der Gründe, warum ich es schon in den 90ern mit Linux keine Woche ausgehalten habe
So wie die Bedienung von allem anderen noch sehr Jung und blöd war, vor allem Programme mit vielen Funktionen.
- Ich: Linuxnutzer, die überall ungefragt für Linux werben müssen, sind nervig.
Ich hab das eher als “jemand der wenig Software zur Verfügung hat und stolz darauf ist” gelesen, deshalb die Argumentation in Richtung “das was wir haben ist viel, mehr als ihr sogar, und besser”.
Ī̵̖̥̩͍̭͋̋͗͒̇ç̶͖̦͖͉̳̠̙̬͖̫͚̺͆̋̍̆́͌̿͜ḧ̴̖̭̦̬̼̝̟̘́̂͂͗͛ͅ ̶̢̲̳̣̬͕̻̫̫̔̉b̸̢̛̠͕̜̼̦̩̦͔̭̲̻͙̣̝̂͒͋̍̆̚ë̴̤̳̝̥͔̮͉̹̲͍̽̓ͅn̸͔͉͍̤̜̰̑̉͛̓̈͋̚ͅu̸̙͗͐̀ͅt̴̲̬̜̟̜͚̙̋̇͌z̶̧̛͙̙͔̭̫̭̫̹̱̠̅͑̉̈́͋̑̎̾̌͂͒ẻ̵̛̛̺̳̻̞̼͎̘̘̞̥̫͖͈͕͚͐́̽͂̅̅̋̓͆̅̿͝ ̴̠̥̭̌̈͋̋̈́͑̍̕͠ͅB̷̧̢̛̺̹͙͚̬̞̝͇̅̀̐͒́̉̉͘͜͝o̵̭͚̣̯̖̝͙͕͕̲͓͒̿̀̀̎͌̕͝g̵̠̦͚̙̺̦͎̹̘͎̈́̇̀́ę̶̼̬͓̯̗̼̀͊̏̓̈́͒̑̈́̂͒͐̚̕n̶̨̨̻̙̣̲͚̲̮̰̬̺̒̃͊͒͐̌͛̇̈̈́̈͘͝,̶̳̠̦̌̃͐̊͊̈͘͠͠ͅ ̷̛̞͓̠̀͗͊̎͒b̶͚̼̫̜͋͆́̈́ė̶̡͈̖̝͈̹͕̦̤̾̎̒̽̇͛͂̔̈́͘͘ì̸̧̢̹̰̝̮̞̖̝̉́͗̂̔̈́̇͆͘ ̷̢̛̩̣̠͇͕̼̥̒͋͊͋́͝ͅd̶̹̻̾̿̈͝e̶̝̱̜͔̤̗̱̜̳̱̠̐̽̀͋̇̆̿̐͘m̷̛͙̝͖͚͍̳̝̗̈́̇̀̾͐̄ͅ ̴̧̯̣͇̤̳͎̜̀̏̏̇̈́̅̈́̽́̋̂͝͝W̵̨̡̖̪̖̰͕͉̗͔̥͍̱͐̄͒̈́̈́̇̿̾̀̌̈̌̾̉̀ȩ̶̰̪͚̱̼̺̱̠͚͂͌ġ̷̢̗̱͖̘͈͎̣̜͇̘̺̺̗̃͆̈́͜
Ich hab das eher als “jemand der wenig Software zur Verfügung hat und stolz darauf ist” gelesen
Ah! Nein, das war dann ein Missverständnis. Schön, das aufgeklärt zu haben. Zum Rest Hochwähli - hab‘ ich leider keine sinnvollen Einwände… ;-)
Ich habe Bogen abgeschworen, Hut (nicht der Rote) ist nun mein Freund.
Wo zugehöriger Pull Request?
nano ftw
Unter anderem deshalb nutze ich Notepad2.
Hab ich da einen Witz verpasst?
Project last updated: October 28, 2012
Wo Nachricht über Lücken? CVE, bitte.
Manchmal sind Projekte einfach fertig. Kann vorkommen.
Software ist nie fertig.
Wann letzte
ed(1)Update?“version 1.19, 11 January 2023”
Reading a non-existent file with commands ‘e’ or ‘E’ did set the ‘modified’ flag, which prevented a following ‘e’ command from succeeding. (Reported by Harry Graf). …
