Sicherheitsforscher haben Ende April '23 vier Sicherheitslücken an die Entwickler von Notepad++ geschickt. Die Probleme sind trotz der zahlreichen Updates seither nicht behoben worden. Im schlimmsten Fall kann Schadcode auf den Computer gelangen. Wie ein Angriff aussehen kann ist nicht bekannt; mit einer präparierten Datei kann jedoch ein Buffer Overflow provoziert werden.
Viele Programmierer oder auch einfach Leute die besser Editieren wollen, und (noch immer) Windows nutzen, werden früher oder später auf NP++ stoßen. Je nachdem wie signifikant die Person ist, kann das weitreichende Folgen haben.
Ein Haupt-Maintainer von Projekt X lädt sich n Repo zum testen runter. Er öffnet die Readme, mit NP++. Leider ist die Präpariert und er bekommt unbemerkt Schadsoftware. Ein paar Wochen später wird von “ihm” dann nicht nur normaler Code, sondern auch subtile Schadsoftware in das Projekt geschoben, was er maintained.
Wäre o.g. maintainer ein Dev von OpenSSL, wäre jetzt eine Lücke in OpenSSL.
Das wäre natürlich sehr ungewöhnlich. ;o)
Ist ja nur ein Beispiel. Außerdem depended OpenSSL auch wiederum auf anderen Paketen usw.