协调披露时间表
2023-04-28:向 报告了 GHSL-2023-092 以及修复建议don.h at free.fr。
2023-05-06:接收确认。
2023-05-08:为 GHSL-2023-102 和 GHSL-2023-103 创建私人安全公告并提供修复建议。
2023-05-11:为 GHSL-2023-112 创建私人安全公告并提供修复建议。
2023-05-15:未修复的 Notepad++ v8.5.3 已发布。
2023-06-05:要求更新。
2023-06-18:未修复的 Notepad++ v8.5.4 已发布。
2023-07-01/02:创建了私有拉取请求。
2023-07-04:通知维护者所有报告都包含修复建议,并且为了方便起见,创建了私有拉取请求。
2023-07-08:维护者要求为 GHSL-2023-112 PoC 提供二进制 blob,而不是 Python 脚本。
2023-07-08:维护者表示 v8.5.4 无法使用 ASAN 进行编译。
2023-07-10:确认 v8.5.4 在我们的设置中使用 ASAN 进行编译,问题仍然可以重现,并且使用 ASAN 构建是可选的:报告包含足够的信息来设置断点并使用 PoC 文件重现它。
2023-07-10:以二进制格式为 GHSL-2023-112 提供 PoC,而不是根据要求生成用于 PoC 生成的 Python 脚本。
2023-07-17:询问维护者是否成功下载了二进制PoC,是否有任何疑问,并告知披露政策。没有收到回复。
2023-08-09:未修复的 Notepad++ v8.5.5 已发布。
2023-08-15:未修复的 Notepad++ v8.5.6 已发布。
2023-08-21:根据我们的协调披露政策发布。
概括
Notepad++ 在打开精心设计的文件时读取和写入超出缓冲区边界的末尾。
产品
Notepad++
测试版本
v8.5.2
细节
https://securitylab.github.com/advisories/GHSL-2023-092_Notepad__/#resources
原文始发于微信公众号(Ots安全):GHSL-2023-112、GHSL-2023-102、GHSL-2023-103....:Notepad++ 中的缓冲区溢出
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论