开源的代码编辑器 Notepad++ 此前被安全研究人员爆出存在多个高危漏洞，漏洞很早就已经通报给开发者，但不知道什么原因开发者一直没有修复。

根据 90 天的行业惯例，在超期后研究人员公布了这些漏洞细节，一方面是提醒用户注意安全，另一方面也是敦促开发者进行修复。

目前 Notepad++ 已经推出 8.5.7 版，发布时间是 2023 年 9 月 8 日，此版本已经修复了这些高危漏洞，同时也解决了其他问题。

仍然使用 Notepad++ 的用户记得更新到最新版本，避免因使用存在漏洞的版本导致潜在的安全问题。

以下是相关信息：

涉及软件：Notepad++ 研究人员：GitLab 平台安全研究员 Jaroslav Lobačevski (@JarLob)

漏洞编号：CVE-2023-40031、CVE-2023-40036、CVE-2023-40164、CVE-2023-40166

以下是漏洞信息：

CVE-2023-40031：Utf8_16_Read::convert 中堆缓冲区写入溢出，漏洞发生原因是该函数存在缺陷。

CVE-2023-40036：CharDistributionAnalysis::HandleOneChar 中的全局缓冲区读取溢出，攻击者可以制作特定文件导致全局缓冲区溢出进行利用。

CVE-2023-40164：nsCodingStateMachine::NextState 中的全局缓冲区读取溢出。

CVE-2023-40166：FileManager::detectLanguageFromTextBegining 中的堆缓冲区读取溢出。