¿Utilizas Notepad++? Actualízalo de inmediato

Hace unos pocos días, le recomendaba a una persona cercana el uso de Notepad++, y no es ni la primera ni la segunda vez que aconsejo esta veterana aplicación. El próximo mes de noviembre se cumplirán 20 años desde su lanzamiento inicial y, aunque no empecé a usarla entonces, si que recuerdo encontrarme con ella por primera vez e incorporarla a mis imprescindibles en algún momento entre 2004 y principios de 2005. Desde entonces, ha estado en la lista de software que instalo en cada nuevo PC que ha ido pasando por mis manos.

Sin embargo, y por primera vez desde que lo conozco, debo mostrarme bastante crítico con sus desarrolladores, y es que durante varios meses han sabido de varias vulnerabilidades en su software y, pese a ello, no las han subsanado. Esto por sí mismo ya es peligroso, pero cobra una dimensión aún más preocupante al saber que, durante varias semanas, la naturaleza de estas vulnerabilidades ya era públicamente conocida, y que por lo tanto podían ser explotadas por cualquier persona con los conocimientos necesarios.

Pero vayamos al principio. En marzo de este año se lanzaba la versión Notepad++ 8.5 y un mes después el Security Lab de GitHub identificaba una vulnerabilidad en la misma. El servicio de seguridad, como es común en este tipo de casos, procedió a informar a los desarrolladores de la aplicación, estableciendo un plazo para la subsanación de la misma antes de hacer pública su naturaleza. Este es el proceder común en las políticas de divulgación responsable, en las que no se revela la naturaleza del problema para evitar su explotación por parte de los ciberdelincuentes, pero se establece un plazo para la subsanación, para evitar que los desarrolladores desatiendan la necesidad de solucionar las vulnerabilidades.

Sin embargo, según podemos leer en la web de esta investigación, cuatro meses después de la comunicación inicial los responsables de Notepad++ todavía no habían subsanado las vulnerabilidades. Y no podemos decir que esto sea por falta de actividad, ya que en dicho rango temporal se publicaron varias actualizaciones (desde la 8.5.3 hasta la 8.5.6). Y no ha sido hasta varias semanas después de la divulgación completa de las vulnerabilidades, que se ha publicado la actualización 8.5.7, que es la que finalmente corrige todos estos problemas.

Por ser más concretos, la divulgación completa se produjo el 21 de agosto, una semana después de la publicación de Notepad++ 8.5.6, que mantenía la vulnerabilidad, así que los usuarios del software han estado muy expuestos a esta amenaza de seguridad hasta hace tan solo dos días, cuando finalmente se publicó la actualización 8.5.7 que acaba con dichos problemas. Pero la problemática es aún peor pues, como puedes ver en la imagen inferior, al momento de publicar esta noticia, si tienes instalada la versión 8.5.6 (afectada, lo recuerdo) el sistema de actualización del software indica que no hay ninguna actualización disponible en este momento:

Así, lo que queda es emplear el enlace que lleva a la página de descargas, donde afortunadamente sí que encontraremos la actualización que, sorprendentemente, no se muestra en la función de actualización del programa:

Ni que decir tiene, por lo tanto, que si eres usuario de Notepad++ deberías, de inmediato, de actualizarte a esta versión, pues de lo contrario estarás afrontando un riesgo innecesario. Y, eso sí, desde aquí un buen tirón de orejas a Don Ho, por haber permitido que los usuarios del software que creó y mantiene desde hace tanto tiempo, se hayan visto expuestos a esta amenaza. Este tipo de problemas pueden hacer mella en la reputación y la buena imagen que tiene esta aplicación desde hace ya muchos años, y realmente esto sería una pena, ya que, sin duda, el prestigio que tiene se lo ha ganado a base un gran trabajo durante muchos años.