Die haben einen BufferOverflow gefunden. Das ist ein Bug und eine potentielle Sicherheitslücke. Und der Entwickler reagiert nicht, also muss das veröffentlicht werden.
Ich bin weit davon entfernt, zu beurteilen, wie daraus eine Arbitrary Code Execution wird. Das wird zwar behauptet, aber nicht belegt. Gibt es einen Exploit?
Vor allem, wir reden hier von Notepad++, nicht openssl. Wie würde ein Angriffsszenario aussehen? Email mit manipulierem Anhang an eine Mitarbeiter:in, von der ich weiß, dass sie Notepad++ nimmt… Dann ist ACE natürlich eine Katastrophe, wenn der Exploit funktioniert…
Mein Gefühl ist, dass wir hier mit Tools nach möglichen Sicherheitslücken suchen. Und das Finding dann medial ausschlachten. Der Bug gehört gefixt, aber muß das einem breiten Publikum kommuniziert werden. Solche Bugs sind nicht gerade selten.