نقص امنیتی Notepad؛ میدانی برای جولان هکرها

 
هکرها از هر نقص امنیتی برای رخنه به کامپیوترها بهره می‌برند؛ ولی این‌بار با نقص مهمی که در نوت‌پد وجود دارد، راه برای آنان بسیار هموار شده است.
 
خلأیی امنیتی در یکی از ساده‌ترین برنامه‌های سیستم‌عامل ویندوز، یعنی نوت‌پد (Notepad) شناسایی شد. براساس ادعای TechRadar، یکی از محققان امنیتی آسیب‌پذیری رایانه‌ها را هنگام استفاده از برنامه‌ی نوت‌پد کشف کرده است. نوت‌پد ابتدایی‌ترین برنامه برای تایپ و ویرایش متن‌هایی است که فاقد قالب خاصی هستند. از این نقص امنیتی نوت‌پد که تویس اورمندی (Tavis Ormandy)، محقق امنیتی Google Project Zero کشف کرده است، هکرها می‌توانند سوء‌استفاده‌ کنند و کل کامپیوترها را با بارگیری برخی از کدهای مخرب به‌سادگی تصاحب کنند. این نقص موجب می‌شود هکرها بتوانند حتی به کامپیوترهای دارای ویندوزهای قدیمی‌‌ای نظیر XP نیز رخنه کنند.
 
همان‌طورکه TechRadar خاطرنشان می‌کند، این نقص درواقع از ضعفی در Windows Text Services Framework ناشی می‌شود. این فریم‌ورک به مواردی از قبیل ورودی متن (text inputs) و پردازش متن و طرح‌بندی صفحه‌کلید می‌پردازد. خلأ امنیتی در دلِ این فریم‌ورک نهفته‌ است؛ مؤلفه‌ای که به CTextFramework معروف است. به‌گزارش The Register، این مؤلفه‌ خود نقص‌هایی امنیتی‌ دارد که درنهایت موجبات سوءاستفاده‌ی هکرها را ازطریق برنامه‌هایی فراهم می‌کند که برای تایپ متن استفاده می‌شوند و در تعامل با این مؤلفه‌ هستند.
 
علاوه‌براین، TechRadar متذکر می‌شود تحقیقات اورمندی درزمینه‌ی نقص امنیتی نوت‌پد، نشان می‌دهد اساسا عبور از پروتکل‌‌های سیستم امنیتی به‌راحتی صورت می‌پذیرد. این امر نه‌تنها به هکرها اجازه‌ی جولان و دسترسی بیشتری می‌دهد؛ بلکه آنان را قادر می‌سازد با استفاده از رایانه‌ی قربانی‌شده‌، به سایر رایانه‌ها دسترسی یابند. Ormandy طی پستی در وبلاگ خود، از گستردگی دامنه‌ی آسیب‌های ناشی‌شده از نقص‌های امنیتی مؤلفه‌ی CTextFramework این‌گونه نوشت:
 
۱. هیچ نظارتی برای دسترسی وجود ندارد و هر برنامه‌ و کاربری حتی در فرایند‌های سندباکس می‌تواند به هر CTF متصل شود. درواقع، از کاربران شناسه‌ی Thread و شناسه‌ی پردازش و HWND خواسته می‌شود؛ اما چون این اطلاعات تصدیق نمی‌شوند، می‌توانند دروغین باشند؛
 
۲. هکرها به‌راحتی می‌توانند خود را به‌جای سرویس CTF معرفی و به سایر برنامه‌ها حتی برنامه‌های سیستمی دسترسی پیدا کنند و برای جلوگیری از این‌کار هیچ مانعی تعبیه نشده است. حتی در خوش‌بینانه‌ترین حالت هم با استفاده از CTF می‌توان از محیط سندباکس فرار کرد و دسترسی‌ها را افزایش داد.
 
بنابر گفته‌های TechRadar و ZDNet، مایکروسافت پَچی به‌نام CVE-2019-1162 و معروف به پچ Patch Tuesday را سه‌شنبه ۱۳ اوت به‌عنوان بخشی از به‌روزرسانی‌های امنیتی ماهانه‌ی مایکروسافت منتشر کرده است. ZDNet گزارش می‌دهد این پچ درمجموع برای برطرف‌کردن ۹۳ نقص امنیتی در نظر گرفته شده‌ است.
 
شما درباره‌ی این خلأ امنیتی چه فکر می‌کنید؟ لطفا دیدگاه‌های خود را با ما در میان بگذارید.

آموزش نصب افزونه‌ها در Notepad++ برای ویندوز ۱۰

Notepad++ برنامه‌ای است که همه آرزو دارند همراه با ویندوز عرضه شود ولی این گونه نیست. نصب این برنامه رایگان است. اما اگر شما طرفدار این برنامه پرکاربرد هستید و از پیشرفت برنامه حمایت می‌کنید، می‌توانید نسخه Notepad++ UWP را خریداری کنید. ویژگی که Notepad++ را منحصر به فرد می‌کند پشتیبانی این برنامه از plugin است. اگر تا به حال از افزونه‌ها در این برنامه استفاده نکرده‌اید، شاید با نصب آن‌ها نیز آشنایی نداشته باشید.

نصب plugin در Notepad++

Notepad++ یک بخش plugin manager دارد که در نسخه جدید این برنامه Plugins Admin نامیده شده است. این دو بخش کاملا یکسان فقط با نام‌های متفاوت هستند. شما می‌توانید افزونه‌ها را از این بخش نصب کنید اما تعداد آن‌ها محدود است. شما می‌توانید افزونه‌های متعددی را که در این بخش وجود ندارند بیابید.

اگر شما بخش Plugins Admin را پیدا نمی‌کنید، می‌توانید آن را دانلود کنید (از اینجا دانلود کنید.). اگر این مرحله را انجام داده‌اید به بخش نصب افزونه‌ها بدون استفاده از Plugins Admin مراجعه کنید.

نصب با استفاده از Plugins Admin

Notepad++ را باز کرده و به بخش Plugins>Plugins Admin بروید. به بخش available plugins بروید. روی گزینه مورد نظر خود کلیک کرده و گزینه نصب را که در گوشه سمت راست قرار دارد، انتخاب کنید تا افزونه مورد نظر نصب شود.

نصب بدون استفاده از Plugins Admin

نصب افزونه‌ها بدون استفاده از Plugins Admin بسیار ساده است. اولین کار دانلود افزونه مورد نظر است. به طور معمول در فایل فشرده دانلود می‌شود که باید آن را از این حالت خارج کنید.

افزونه‌ها دارای هر دو نسخه ۳۲ بیتی و ۶۴ بیتی هستند. مطمئن شوید که افزونه‌ای را که با ویندوز و سیستم شما تطابق دارد، دانلود می‌کنید. پس از دانلود و خارج کردن فایل از حالت فشرده، نیاز دارید این فایل‌ها را به آدرس زیر انتقال دهید.

%LOCALAPPDATA%\Notepad++\plugins

اگر آدرس بالا در سیستم شما وجود نداشت، شما باید افزونه‌ها را به آدرس زیر منتقل کنید.

C:\Program Files\Notepad++\plugins

یا اگر سیستم شما ۳۲ بیتی بود از آدرس زیر استفاده کرده و فایل‌ها را به این آدرس منتقل کنید.

C:\Program Files (x86)\Notepad++\plugins

از Notepad++ خارج شده و دوباره برنامه را اجرا کنید. افزونه‌های نصب شده باید در بخش Plugins menu درون برنامه ظاهر شوند.

معنی اصلی این مسئله عدم وجود محدودیت در نصب افزونه‌ها در Notepad++ است. یعنی این برنامه محدودیتی برای استفاده از افزونه‌ها ندارد و می‌توانید از همه افزونه‌ها چه افزونه‌های موجود در Plugins Admin و دیگر افزونه‌ها استفاده کنید. این انعطاف‌پذیری برنامه عالی است. اما اگر افزونه‌هایی از خارج محیط برنامه نصب می‌کنید، از امن بودن آن اطمینان حاصل کنید. بهتر است از افزونه‌های متن‌باز یا افزونه‌هایی که مورد اطمینان جامعه هستند، استفاده کنید.

نوشته آموزش نصب افزونه‌ها در Notepad++ برای ویندوز 10 اولین بار در وب‌سایت فناوری پدیدار شد.