Entwickler Don Ho hat Notepad++ 8.8.9 veröffentlicht. Die neue Version behebt eine schwerwiegende Sicherheitslücke und sollte daher umgehend installiert werden. Da sich die Schwachstelle in der Update-Funktion befindet, muss die Aktualisierung jedoch manuell erfolgen, um die Lücke sicher zu schließen.

Sicherheitslücke wird bereits ausgenutzt

Nach Angaben des Entwicklers liegt die Schwachstelle nicht direkt in Notepad++ begründet, sondern betrifft den von der Anwendung genutzten Updater WinGUp. Über diese Lücke können Angreifer den Aktualisierungsprozess manipulieren und über ein gefälschtes Update in Form von Malware schadhaften Code einschleusen, mit dem sensible Daten abgegriffen oder das gesamte System übernommen werden kann. Deshalb sollte Notepad++ 8.8.9 manuell und nicht über die in die Anwendung integrierte Update-Funktion installiert werden, da nur so sichergestellt werden kann, dass die Lücke tatsächlich geschlossen wird.

Datenverkehr abgegriffen

Das Vorgehen, das bereits beobachtet und bestätigt wurde, basiert laut dem Sicherheitsexperten Kevin Beaumont auf einem Man-in-the-Middle-Angriff. Die Angreifer sollen dabei zudem in der Lage sein, den Datenverkehr zwischen der Update-Infrastruktur von Notepad++ und dem Zielsystem zu manipulieren und den Download auf eine andere Quelle umzuleiten. Selbst die Verwendung von HTTPS bietet in diesem Fall keinen ausreichenden Schutz. Durch diese Umstände sind die Angreifer in der Lage, Anwendern auch manipulierte Updates unterzuschieben, die die Schwachstelle nicht beseitigen und so den Eindruck erwecken, das System sei sicher, obwohl es weiterhin verwundbar bleibt.

Neue Sicherheitsmechanismen

Eigentlich sollte die Lücke bereits mit Version 8.8.8 behoben worden sein. Aufgrund der aktuellen Gefahrenlage waren jedoch weitere Anpassungen nötig, da nicht sichergestellt werden konnte, dass die Schwachstelle auf infizierten Systemen tatsächlich beseitigt wurde oder von Angreifern absichtlich offen gehalten blieb. Mit dem neuen Update ist Notepad++ aber in der Lage, Signaturen und Zertifikate künftiger Updates strenger zu prüfen und die Aktualisierung abzubrechen, falls diese Überprüfung fehlschlägt. Außerdem werden seit Version 8.8.8 alle Downloads ausschließlich über github.com abgewickelt, was Angriffe erheblich erschwert und die Sicherheit erhöht, da Manipulationen dort wesentlich schwieriger unbemerkt möglich sind. Neue Versionen sollten daher ausschließlich von dieser Plattform heruntergeladen werden.

Unternehmen, die Notepad++ zentral verwalten und aktualisieren, könnten laut Beaumont erwägen, notepad-plus-plus.org zu blockieren oder den Prozess gup.exe vom Internetzugang auszuschließen, auch wenn dies mit zusätzlichem Aufwand verbunden ist.

Opfer gezielt ausgesucht

Ho erklärte, dass die Untersuchungen zu der Schwachstelle weiterhin andauern. Beaumont zufolge wurde die Lücke bereits bei drei nicht näher genannten Organisationen „mit Interessen in Ostasien“ aktiv ausgenutzt. Für die Angriffe seien beträchtliche Ressourcen erforderlich gewesen, was darauf hindeutet, dass die Ziele gezielt ausgewählt wurden. Ebenso gezielt scheinen die Aktivitäten gewesen zu sein, die dem Anschein nach zur Ausspähung der Opfer dienten und vor rund zwei Monaten begonnen haben sollen. Beaumont betonte, dass den Entwickler selbst keine Schuld treffe, da die Schwachstelle auf die Funktionsweise des verwendeten Updaters zurückzuführen sei. Auf seinem Mastodon-Kanal will der Experte weitere Informationen veröffentlichen, sobald neue Erkenntnisse vorliegen.

Weiter Bugs beseitigt

Neben der Sicherheitslücke hat der Entwickler auch zahlreiche Fehlerkorrekturen vorgenommen und neue Funktionen integriert. So wurde die Code-Editor-Komponente Scintilla auf Version 5.5.8 aktualisiert, während die für lexikalische Analysen genutzte Bibliothek Lexilla nun in Version 5.4.6 vorliegt. Darüber hinaus können Anwender in Dokumenten künftig Zeilen nach ihrer Länge sortieren. Außerdem besteht nun die Möglichkeit, die Dateien „langs.xml“ und „stylers.xml“ der Benutzer anhand der entsprechenden XML-Modelldateien zu aktualisieren.

Ein Problem, das in der Vergangenheit zu Abstürzen beim Hashing großer Dateien mit SHA-256 geführt hatte, wurde ebenfalls beseitigt. Zudem wurde ein sich mit dem Update auf eine der letzten Version von Notepad++ eingeschlichener Fehler korrigiert, durch den die Funktion „Auswählen & Weiter suchen“ nicht korrekt arbeitete. Auch das gelegentliche Einfrieren beim Wechseln zwischen Registerkarten infolge der Perl-Funktionsliste wurde behoben. Gleiches gilt für die bislang falsche Umsetzung, bei der die horizontale Scrollmenge des Mausrads die Windows-Einstellung nicht berücksichtigt hatte. Darüber hinaus wurde eine fehlerhafte Skalierung der Systemschriftart unter Windows 7 korrigiert.

Eine komplette Über sicht der Änderungen und Neuerungen in Notepad++ 8.8.9 bieten die ausführlichen Release Notes.

Ab sofort verfügbar

Das korrigierte Notepad++ 8.8.9 steht ab sofort auf der Website des Entwicklers zum Download bereit. Alternativ kann die neue Version auch wie gewohnt über den Link am Ende der Meldung bequem aus dem Download-Bereich von ComputerBase geladen werden.

Während viele Haushalte ohnehin schon jeden warmen Grad hinterfragen müssen, rückt nun eine Entscheidung ins Rampenlicht, die das Heizen erneut verteuern könnte. Erste Details lassen erahnen, warum diese Änderung jetzt so heftig diskutiert wird.

Vielleicht kennt Ihr das Gefühl: Kaum hat man sich an eine Regel gewöhnt, steht schon die nächste Novelle bereit. Genau das passiert jetzt im Heizbereich. Die Bundesregierung arbeitet an einer Verschärfung, die gleich mehrere Heizsysteme betrifft und besonders Betreiber von Holzheizungen trifft. Was es mit dieser Änderung auf sich hat und warum die Diskussion gerade so Fahrt aufnimmt, schauen wir uns jetzt genauer an.

Biomasseverordnung: Was die Regierung wirklich verschärfen will

Geht es nach dem aktuellen Entwurf, sollen bestimmte Holzarten künftig nicht mehr als Biomasse gelten – und damit kaum noch verbrannt werden dürfen. Dazu zählen vor allem Rundholz in Industriequalität sowie Wurzeln und Stümpfe. Für viele von Euch wäre damit ein gutes Stück Heizmaterial gestrichen.

Die Anpassung ist jedoch kein spontaner Einfall aus Berlin, sondern die nationale Umsetzung der EU-Richtlinie RED III. Eigentlich hätte Deutschland diese Vorgabe schon bis Mai 2025 übernehmen müssen – nun holt die Regierung nach, was längst überfällig ist. Entsprechend dürfte die Verschärfung bereits früh im kommenden Jahr in Kraft treten.

Im Zentrum der Kritik stehen pauschale Verbote: Mehrere Sortimente würden komplett aus der energetischen Nutzung ausgeschlossen. Verbände warnen davor, dass solche Regeln nicht nur Biomasseanlagen belasten, sondern auch Waldbesitzern dringend benötigte Einnahmen entziehen könnten – besonders in Zeiten schwankender Holzpreise.

Warum die Wälder im Fokus stehen – und was die Ökologie damit zu tun hat

Auf der anderen Seite steht ein starkes ökologisches Argument: Viele der betroffenen Holzsorten gelten als wertvolle Kohlenstoffspeicher. Nutzt man sie im Möbel- oder Bauwesen, bleibt CO₂ langfristig gebunden – verbrennt man sie, landet alles sofort in der Atmosphäre.

Wurzelholz und Baumstümpfe erfüllen zudem wichtige Funktionen im Wald. Sie speichern Nährstoffe, bieten Lebensraum und fördern das Bodenleben. Sie einfach herauszureißen, würde Wälder zusätzlich schwächen – und die stehen in Deutschland ohnehin unter Druck.

Daher unterstützen Umweltverbände wie der NABU die geplante Verschärfung. Sie verweisen darauf, dass Holzverbrennung in der EU oft als klimaneutral gilt, in Wahrheit jedoch große CO₂-Mengen freisetzt und zusätzlichen Einschlag begünstigt. Die Empfehlung lautet daher: Holz stärker schützen, Alternativen wie Wärmepumpen und Geothermie ausbauen.

Auch das Umweltbundesamt hegt Zweifel – und das Gutachten fällt deutlich aus

Das Umweltbundesamt hat die juristischen Auswirkungen der Holznutzung prüfen lassen – mit einem klaren Ergebnis. Laut Gutachten des IKEM lässt sich Strom und Wärme aus Holz nicht uneingeschränkt als erneuerbare Energie im Sinne der Pariser Klimaziele einstufen.

Darum stellt sich nicht mehr die Frage, ob die Verschärfung kommt, sondern nur noch wie. Die EU-Vorgabe steht, Deutschland muss sie umsetzen. Spielräume könnte es lediglich für Ausnahmen oder Notfallregelungen geben, um Biomasseanlagen nicht komplett unter Druck zu setzen.

Fest steht: Die Diskussion wird uns noch eine Weile begleiten – und viele von Euch werden genau hinschauen, welche Auswirkungen das am Ende für die eigenen Heizkosten hat.

Hohoho, heißt es heute direkt zu Beginn im Podcast. Kein Wunder, das Nikolaus-Rätsel 2025 ist ja auch im vollen Gange. Aber die großen Themen im Podcast sind andere: AMD FSR Redstone und Pioneers Pagonia 1.0 sind da, Lara Croft kommt morgen zurück und Crucial zieht von dannen. Verschwunden sind außerdem 131 GB – in Helldivers 2.

CB-Funk: Die einhundertachtundvierzigste Episode

FSR Redstone ist endlich erschienen – und jetzt? Was verbirgt sich hinter dem Codenamen, welche neuen Features werden geboten und was bedeutet das für Spieler mit Radeon? Antworten auf all diese Fragen gibt es heute noch nicht, aber eine erste Einordnung zum überraschend ernüchternden Auftakt. Schon zwei Jahre auf dem Buckel haben wiederum die wuseligen Siedler in Pioneers of Pagonia, das jetzt den Early Access verlassen hat. Jan und Fabian werfen einen Blick auf den Benchmark-Test zum Aufbauspiel.

Anschließend erklären die beiden, was die Arrowhead Game Studios gemacht haben, um bei Helldivers 2 satte 131 GB an Daten einzusparen, weil mutmaßlich aus der Zeit gefallene „HDD-Optimierungen“ über Bord geworfen wurden. Fabian hat die Details und weiß zu berichten: Das war weder einen Fackellauf wert, noch ist es die Ausnahme in der Branche.

Weitere Themen im Podcast: Micron stampft Crucial ein, Lara Croft kehrt morgen zurück und unsere Sonntagsfrage zu eurer Einstellung gegenüber LAN-Partys. Wir wünschen viel Spaß beim Zuhören und freuen uns auf eure Kommentare!

Wir beantworten eure Fragen

Und wie üblich zur Erinnerung: Wir möchten im CB-Funk jede Woche einige Fragen beantworten, die zum Podcast, zur Redaktion oder unseren Themen passen. Gerne könnt ihr eure Fragen an podcast@computerbase.de richten oder aber uns hier im Forum oder auf Discord per Direktnachricht anschreiben – wir sind gespannt!

CB-Funk bei Spotify, Apple, Amazon und Deezer

CB-Funk lässt sich nicht nur über den in dieser Notiz eingebetteten Podigee-Player abspielen, sondern auch bequem direkt in den Podcast-Apps eurer Wahl abonnieren und hören. Verfügbar ist der ComputerBase-Podcast auf Spotify, Apple Podcasts, Amazon Music und ebenso auf Deezer.

An dieser Stelle folgt der obligatorische Hinweis: In die meisten Podcast-Player lässt sich CB-Funk außerdem via RSS einbinden. Die entsprechende URL lautet: https://computerbase.podigee.io/feed/opus.

Übersicht zu den bisherigen Episoden

Eine Übersicht zu den bisherigen Podcast-Folgen und den entsprechenden Artikeln mit Kommentarbereich ist auf der Themenseite CB-Funk zu finden.