Notepad++ 8.5.7 behebt schwere sicherheitsrelevante Fehler

Zitat von .DeJaVu

das Update ist diesmal wirklich wichtig

Hallo

danke für die Info Allerdings:

Gruß Ingo

Hallo Schlingo,

kenne ich nur so von Notepad. Einfach auf Downloadseite gehen, laden und installieren.

Hier mal die Meldung von Heise zur Sicherheitslücke vor 10 Tagen:

Entwickler von Notepad++ ignoriert offensichtlich Sicherheitslücken

Mehrere Sicherheitslücken gefährden den Texteditor Notepad++. Trotz Informationen zu den Lücken und möglichen Fixes steht ein Sicherheitsupdate noch aus.

www.heise.de

Man streitet sich noch, ob der Entwickler bisher nur einfach ignorant war und die Sicherheitslücke wirklich so gefährlich ist, oder ob es sich bei dem Programmfehler doch eher um eine theoretische Lücke gehandelt hat (Öffnen einer präparierten Datei und manuelles Anstoßen der Konvertierung von UTF16 nach UTF8).

Egal, ist ja jetzt wohl gefixt.

Zitat von .DeJaVu

Man hat Monate drauf hingewiesen, und da nichts passiert ist, hat man es öffentlich gemacht.

Zum selbst Nachlesen:

• Meldung im GitHub Security Lab
• Bugmeldung bei der GitHub-Ressource von Notepad++

Zitat von BrokenHeart

Man streitet sich noch, ob der Entwickler bisher nur einfach ignorant war und die Sicherheitslücke wirklich so gefährlich ist, oder ob es sich bei dem Programmfehler doch eher um eine theoretische Lücke gehandelt hat (Öffnen einer präparierten Datei und manuelles Anstoßen der Konvertierung von UTF16 nach UTF8).

Siehe dazu den Beitrag unter der Bugmeldung: The CVE is a ridiculous exaggeration of the situation … (stammt nicht vom Entwickler).

Ich kann nicht einschätzen, ob die Situation irgendwie gefährlich war, aber eine schnellere Reaktion hätte ich schon für angemessen befunden.

Done!

Zitat von .DeJaVu

Es gibt einen Hilferuf seitens NPP

[X] Done

Zitat von .DeJaVu

Es gibt einen Hilferuf seitens NPP

Erledigt.

Erledigt.

Erledigt

Erledigt, auch wenn ich nicht glaube, dass da Google was dagegen machen wird. Ähnliche Seiten, die zb. eine schädliche Erweiterung einem unterjubeln wollten, hatte ich in der Vergangenheit so oft gemeldet und nix passierte. Aber vielleicht hat sich in der Zwischenzeit ja was geändert und Google wird auch bei solchen Seiten tätig. Die Hoffnung stirbt zuletzt.

Dabei!

So eine *zensiert* sollte man gleich im Ansatz unterbinden!

Ich habe die .plus Seite auch auf Google Safebrowsing gemeldet.

Das ist ein echtes Problem mit diesen Seiten die den Namen von Open Source Projekten versuchen zu Geld zu machen.

In der Filterliste ublock-badware stehen hunderte solcher URLs.

Weitere negative Beispiele:

vlc[.]de

audacity[.]de

Auf der deutschsprachigen Seite von 7zip wird auch darauf hingewiesen:

Technische Unterstützung zu 7-Zip » 7-zip.de

Zitat

Warnung vor Download bei Drittanbietern

Der Download von 7-Zip ist kostenlos von dieser Seite möglich. Dabei werden keine persönlichen Daten abgefragt. In der letzten Zeit erreichen uns allerdings vermehrt Beschwerden über Firmen, die das Programm gegen eine Gebühr zum Download anbieten. Unter anderem führen Suchmaschinen bei dem Suchbegriff 7-Zip zu kostenpflichtigen „Download-Abos“. Wir möchten darauf hinweisen, dass wir mit diesen Angeboten in keinerlei Verbindung stehen und dafür nicht verantwortlich sind. Aufgrund des Open-Source-Gedankens gestattet unsere Lizenz jedoch auch den Verkauf. Geben Sie beim Download von 7-Zip auf keinen Fall Ihre persönlichen Daten preis! Ausführliche Informationen dazu finden Sie auch auf den Seiten von de.OpenOffice.org.

Zitat von .DeJaVu

Es gibt einen Hilferuf seitens NPP

Die Seite kann man mehrfach melden, Google scheint das nicht zu merken

Gruß, Nobby