ພົບຊ່ອງໂຫວ່ໃນ Notepad++ ທີ່ຊ່ວຍໃຫ້ຜູ້ໂຈມຕີເຮັດໃຫ້ໂປຣແກຣມຢຸດເຮັດວຽກ ແລະ ເປີດເຜີຍຂໍ້ມູນໃນ ໜ່ວຍຄວາມຈໍາໄດ້
ມີການລະບຸເຖິງຊ່ອງໂຫວ່ດ້ານຄວາມປອດໄພໃນ Notepad++ ຊຶ່ງເປັນໜຶ່ງໃນໂປຣແກຣມແກ້ໄຂຂໍ້ຄວາມແບບໂອເພນຊອສ (Open Source) ທີ່ໄດ້ຮັບຄວາມນິຍົມສູງສຸດໃນກຸ່ມນັກພັດທະນາ ແລະ ຜູ້ຊ່ຽວຊານດ້ານໄອທີ.
ຊ່ອງໂຫວ່ໝາຍເລກ CVE-2026-3008 ອາດຈະເຮັດໃຫ້ຜູ້ໂຈມຕີຈາກພາຍນອກເຮັດໃຫ້ແອັບພິເຄຊັ່ນຢຸດເຮັດວຽກ ຫຼື ດຶງຂໍ້ມູນສຳຄັນທີ່ຢູ່ໃນໜ່ວຍຄວາມຈຳອອກຈາກລະບົບທີ່ໄດ້ຮັບຜົນກະທົບໄດ້.
ຊ່ອງໂຫວ່ນີ້ເປັນຊ່ອງໂຫວ່ປະເພດ String Injection ທີ່ຢູ່ໃນຟັງຊັ່ນ FindInFiles ຂອງ Notepad++ ໂດຍສະເພາະຢ່າງຍິ່ງ ບັນຫາເກີດຂຶ້ນເມື່ອຊ່ອງ (Field) "find-result-hits" ໃນຟາຍ Configuration nativeLang.xml ມີຕົວລະບຸຮູບແບບ "%s" ຊຶ່ງເຮັດໃຫ້ເກີດພຶດຕິກຳທີ່ເປັນອັນຕະລາຍລະຫວ່າງການດຳເນີນການຄົ້ນຫາ.
ຊ່ອງໂຫວ່ປະເພດນີ້ສາມາດນຳໄປສູ່ການຈັດການໜ່ວຍຄວາມຈຳທີ່ບໍ່ເໝາະສົມ ເຮັດໃຫ້ຜູ້ບໍ່ຫວັງດີສາມາດເຮັດໃຫ້ແອັບພິເຄຊັ່ນຄ້າງ ຫຼື ໃຊ້ງານບໍ່ໄດ້ (DoS) ໂດຍການເຮັດໃຫ້ແອັບພິເຄຊັ່ນຢຸດເຮັດວຽກ ຫຼື ສັງລວມຂໍ້ມູນທີ່ຢູ່ໃນໜ່ວຍຄວາມຈຳ ຊຶ່ງອາດຈະຖືກນຳໄປໃຊ້ເພື່ອຂະຫຍາຍການໂຈມຕີໃນຂັ້ນຕໍ່ໄປ.ນອກຈາກນີ້ ຊ່ອງໂຫວ່ທີ່ສອງ ໝາຍເລກ CVE-2026-6539 ກໍ່ມີຄວາມເຊື່ອມໂຍງກັບການແກ້ໄຂໃນເເພັດ (Patch) ເທື່ອນີ້ພ້ອມ ຊຶ່ງສະແດງໃຫ້ເຫັນວ່າມີການແກ້ໄຂບັນຫາຄວາມປອດໄພອື່ນໆ ທີ່ກ່ຽວຂ້ອງພ້ອມໆກັບຊ່ອງໂຫວ່ຫຼັກເຊັ່ນກັນ.
ຖ້າຫາກການໂຈມຕີສຳເລັດ ອາດຈະສົ່ງຜົນກະທົບຕໍ່ຂັ້ນຕອນການເຮັດວຽກຂອງນັກພັດທະນາ, ຜູ້ເບິ່ງແຍງລະບົບ ແລະ ນັກວິເຄາະຄວາມປອດໄພທີ່ຕ້ອງອາໄສ Notepad++ ໃນການເຮັດວຽກປະຈຳວັນ.
ເຖິງວ່າຊ່ອງໂຫວ່ດ້ານການເປີດເຜີຍຂໍ້ມູນໃນໜ່ວຍຄວາມຈຳ ໃນບາງເທື່ອອາດຈະຖືກເບິ່ງວ່າມີຄວາມຮຸນແຮງຕ່ຳ ຊຶ່ງໂຕຊ່ອງໂຫວ່ເອງອາດຈະເບິ່ງຄືບໍ່ອັນຕະລາຍຫຼາຍ ແຕ່ຫຼາຍເທື່ອທີ່ຊ່ອງໂຫວ່ເຫຼົ່ານີ້ມັກຖືກນຳໄປໃຊ້ຮ່ວມກັບຊ່ອງໂຫວ່ອື່ນໆ ເພື່ອຫຼີກລ້ຽງວິທີປ້ອງກັນຄວາມປອດໄພ ເຊັ່ນ: Address Space Layout Randomization (ASLR).
ເວີຊັ່ນທີ່ໄດ້ຮັບຜົນກະທົບ:
ຊ່ອງໂຫວ່ນີ້ສົ່ງຜົນກະທົບໂດຍສະເພາະກັບ:
• Notepad++ ເວີຊັ່ນ 8.9.3
ຜູ້ທີ່ໃຊ້ເວີຊັ່ນກ່ອນໜ້ານີ້ຄວນອາດມີຄວາມສ່ຽງເຊັ່ນດຽວກັນ ແລະ ຄວນດຳເນີນການອັບເດດແພັດແກ້ໄຂ (Patch) ໂດຍໄວທີ່ສຸດ.
ການອອກແພັດແກ້ໄຂ:
Hazley Samsudin ເຈົ້າຂອງຜະລິດຕະພັນ Notepad++ ໄດ້ຕອບໂຕ້ຢ່າງໄວດ້ວຍການອອກເວີຊັ່ນ 8.9.4 ຊຶ່ງແກ້ໄຂທັງຊ່ອງໂຫວ່ CVE-2026-3008 ແລະ CVE-2026-6539 ໂດຍກົງ.
ການແກ້ໄຂດັ່ງກ່າວຊ່ວຍແກ້ບັນຫາພຶດຕິກຳການຢຸດເຮັດວຽກໃນຄຸນສົມບັດ FindInFiles ເມື່ອມີການໄຈ້ແຍກຮູບແບບ String ຢ່າງບໍ່ຖືກຕ້ອງຈາກຟາຍ nativeLang.xml ໂດຍລາຍລະອຽດຂອງແພັດມີການລະບຸໄວ້ເທິງ GitHub repository ຢ່າງເປັນທາງການຂອງ Notepad++ ພາຍໃຕ້ Issue ໝາຍເລກ #17960.
ວິທີຫຼຸດຜ່ອນຄວາມສ່ຽງ:
ແນະນຳຢ່າງຍິ່ງໃຫ້ຜູ້ໃຊ້ງານ ແລະ ຜູ້ເບິ່ງແຍງລະບົບທຸກຄົນທີ່ໃຊ້ງານເວີຊັ່ນທີ່ໄດ້ຮັບຜົນກະທົບ ດຳເນີນການດັ່ງຕໍ່ໄປນີ້ທັນທີ:
ອັບເດດເປັນ Notepad++ ເວີຊັ່ນ 8.9.4 ຜ່ານເວັບໄຊທາງການຂອງ Notepad++ ຫຼື ອັບເດດຜ່ານໂປຣແກຣມດັ່ງກ່າວ.
• ກວດສອບຄວາມຖືກຕ້ອງຂອງຟາຍຕິດຕັ້ງທີ່ດາວໂຫຼດມາໂດຍໃຊ້ Checksums ທີ່ເປັນທາງການ;
• ເຝົ້າລະວັງພຶດຕິກຳທີ່ຜິດປົກກະຕິຂອງແອັບພິເຄຊັ່ນໃນລະບົບ ຊຶ່ງອາດຈະສະແດງເຖິງຄວາມພະຍາຍາມໃນການໂຈມຕີທີ່ເຄີຍເກີດຂຶ້ນກ່ອນໜ້ານີ້.
ເນື່ອງຈາກການໃຊ້ງານ Notepad++ ທີ່ແຜ່ຫຼາຍໃນລະດັບອົງການ ແລະ ການເຮັດວຽກຂອງນັກພັດທະນາ ອົງການຕ່າງໆ ຈຶ່ງຄວນໃຫ້ຄວາມສຳຄັນກັບການອັບເດດນີ້ໃນຮອບການຈັດການແພັດມາດຕະຖານ.
ສຳລັບຜູ້ໃຊ້ທີ່ໃຊ້ການຕັ້ງຄ່າ nativeLang.xml ແບບກຳນົດເອງ ຂໍໃຫ້ດຳເນີນການຕິດຕັ້ງແພັດແກ້ໄຂໂດຍໄວທີ່ສຸດ.
ຊ່ອງໂຫວ່ໝາຍເລກ CVE-2026-3008 ອາດຈະເຮັດໃຫ້ຜູ້ໂຈມຕີຈາກພາຍນອກເຮັດໃຫ້ແອັບພິເຄຊັ່ນຢຸດເຮັດວຽກ ຫຼື ດຶງຂໍ້ມູນສຳຄັນທີ່ຢູ່ໃນໜ່ວຍຄວາມຈຳອອກຈາກລະບົບທີ່ໄດ້ຮັບຜົນກະທົບໄດ້.
ຊ່ອງໂຫວ່ນີ້ເປັນຊ່ອງໂຫວ່ປະເພດ String Injection ທີ່ຢູ່ໃນຟັງຊັ່ນ FindInFiles ຂອງ Notepad++ ໂດຍສະເພາະຢ່າງຍິ່ງ ບັນຫາເກີດຂຶ້ນເມື່ອຊ່ອງ (Field) "find-result-hits" ໃນຟາຍ Configuration nativeLang.xml ມີຕົວລະບຸຮູບແບບ "%s" ຊຶ່ງເຮັດໃຫ້ເກີດພຶດຕິກຳທີ່ເປັນອັນຕະລາຍລະຫວ່າງການດຳເນີນການຄົ້ນຫາ.
ຊ່ອງໂຫວ່ປະເພດນີ້ສາມາດນຳໄປສູ່ການຈັດການໜ່ວຍຄວາມຈຳທີ່ບໍ່ເໝາະສົມ ເຮັດໃຫ້ຜູ້ບໍ່ຫວັງດີສາມາດເຮັດໃຫ້ແອັບພິເຄຊັ່ນຄ້າງ ຫຼື ໃຊ້ງານບໍ່ໄດ້ (DoS) ໂດຍການເຮັດໃຫ້ແອັບພິເຄຊັ່ນຢຸດເຮັດວຽກ ຫຼື ສັງລວມຂໍ້ມູນທີ່ຢູ່ໃນໜ່ວຍຄວາມຈຳ ຊຶ່ງອາດຈະຖືກນຳໄປໃຊ້ເພື່ອຂະຫຍາຍການໂຈມຕີໃນຂັ້ນຕໍ່ໄປ.ນອກຈາກນີ້ ຊ່ອງໂຫວ່ທີ່ສອງ ໝາຍເລກ CVE-2026-6539 ກໍ່ມີຄວາມເຊື່ອມໂຍງກັບການແກ້ໄຂໃນເເພັດ (Patch) ເທື່ອນີ້ພ້ອມ ຊຶ່ງສະແດງໃຫ້ເຫັນວ່າມີການແກ້ໄຂບັນຫາຄວາມປອດໄພອື່ນໆ ທີ່ກ່ຽວຂ້ອງພ້ອມໆກັບຊ່ອງໂຫວ່ຫຼັກເຊັ່ນກັນ.
ຖ້າຫາກການໂຈມຕີສຳເລັດ ອາດຈະສົ່ງຜົນກະທົບຕໍ່ຂັ້ນຕອນການເຮັດວຽກຂອງນັກພັດທະນາ, ຜູ້ເບິ່ງແຍງລະບົບ ແລະ ນັກວິເຄາະຄວາມປອດໄພທີ່ຕ້ອງອາໄສ Notepad++ ໃນການເຮັດວຽກປະຈຳວັນ.
ເຖິງວ່າຊ່ອງໂຫວ່ດ້ານການເປີດເຜີຍຂໍ້ມູນໃນໜ່ວຍຄວາມຈຳ ໃນບາງເທື່ອອາດຈະຖືກເບິ່ງວ່າມີຄວາມຮຸນແຮງຕ່ຳ ຊຶ່ງໂຕຊ່ອງໂຫວ່ເອງອາດຈະເບິ່ງຄືບໍ່ອັນຕະລາຍຫຼາຍ ແຕ່ຫຼາຍເທື່ອທີ່ຊ່ອງໂຫວ່ເຫຼົ່ານີ້ມັກຖືກນຳໄປໃຊ້ຮ່ວມກັບຊ່ອງໂຫວ່ອື່ນໆ ເພື່ອຫຼີກລ້ຽງວິທີປ້ອງກັນຄວາມປອດໄພ ເຊັ່ນ: Address Space Layout Randomization (ASLR).
ເວີຊັ່ນທີ່ໄດ້ຮັບຜົນກະທົບ:
ຊ່ອງໂຫວ່ນີ້ສົ່ງຜົນກະທົບໂດຍສະເພາະກັບ:
• Notepad++ ເວີຊັ່ນ 8.9.3
ຜູ້ທີ່ໃຊ້ເວີຊັ່ນກ່ອນໜ້ານີ້ຄວນອາດມີຄວາມສ່ຽງເຊັ່ນດຽວກັນ ແລະ ຄວນດຳເນີນການອັບເດດແພັດແກ້ໄຂ (Patch) ໂດຍໄວທີ່ສຸດ.
ການອອກແພັດແກ້ໄຂ:
Hazley Samsudin ເຈົ້າຂອງຜະລິດຕະພັນ Notepad++ ໄດ້ຕອບໂຕ້ຢ່າງໄວດ້ວຍການອອກເວີຊັ່ນ 8.9.4 ຊຶ່ງແກ້ໄຂທັງຊ່ອງໂຫວ່ CVE-2026-3008 ແລະ CVE-2026-6539 ໂດຍກົງ.
ການແກ້ໄຂດັ່ງກ່າວຊ່ວຍແກ້ບັນຫາພຶດຕິກຳການຢຸດເຮັດວຽກໃນຄຸນສົມບັດ FindInFiles ເມື່ອມີການໄຈ້ແຍກຮູບແບບ String ຢ່າງບໍ່ຖືກຕ້ອງຈາກຟາຍ nativeLang.xml ໂດຍລາຍລະອຽດຂອງແພັດມີການລະບຸໄວ້ເທິງ GitHub repository ຢ່າງເປັນທາງການຂອງ Notepad++ ພາຍໃຕ້ Issue ໝາຍເລກ #17960.
ວິທີຫຼຸດຜ່ອນຄວາມສ່ຽງ:
ແນະນຳຢ່າງຍິ່ງໃຫ້ຜູ້ໃຊ້ງານ ແລະ ຜູ້ເບິ່ງແຍງລະບົບທຸກຄົນທີ່ໃຊ້ງານເວີຊັ່ນທີ່ໄດ້ຮັບຜົນກະທົບ ດຳເນີນການດັ່ງຕໍ່ໄປນີ້ທັນທີ:
ອັບເດດເປັນ Notepad++ ເວີຊັ່ນ 8.9.4 ຜ່ານເວັບໄຊທາງການຂອງ Notepad++ ຫຼື ອັບເດດຜ່ານໂປຣແກຣມດັ່ງກ່າວ.
• ກວດສອບຄວາມຖືກຕ້ອງຂອງຟາຍຕິດຕັ້ງທີ່ດາວໂຫຼດມາໂດຍໃຊ້ Checksums ທີ່ເປັນທາງການ;
• ເຝົ້າລະວັງພຶດຕິກຳທີ່ຜິດປົກກະຕິຂອງແອັບພິເຄຊັ່ນໃນລະບົບ ຊຶ່ງອາດຈະສະແດງເຖິງຄວາມພະຍາຍາມໃນການໂຈມຕີທີ່ເຄີຍເກີດຂຶ້ນກ່ອນໜ້ານີ້.
ເນື່ອງຈາກການໃຊ້ງານ Notepad++ ທີ່ແຜ່ຫຼາຍໃນລະດັບອົງການ ແລະ ການເຮັດວຽກຂອງນັກພັດທະນາ ອົງການຕ່າງໆ ຈຶ່ງຄວນໃຫ້ຄວາມສຳຄັນກັບການອັບເດດນີ້ໃນຮອບການຈັດການແພັດມາດຕະຖານ.
ສຳລັບຜູ້ໃຊ້ທີ່ໃຊ້ການຕັ້ງຄ່າ nativeLang.xml ແບບກຳນົດເອງ ຂໍໃຫ້ດຳເນີນການຕິດຕັ້ງແພັດແກ້ໄຂໂດຍໄວທີ່ສຸດ.
ເອກະສານອ້າງອີງ:
ລາຍການຮູບ
