Datenschutz & Sicherheit
Notepad++: Sicherheitsupdate gegen Codeschmuggel-Lücke | heise online
Notepad++ ist in Version 8.9.2 erschienen. Die neue Fassung verbessert Sicherheitsmechanismen und schließt eine hochriskante Sicherheitslücke, durch die Angreifer beliebigen Code ausführen können.
Weiterlesen nach der Anzeige
In der Versionsankündigung von Notepad++ 8.9.2 schreibt der Entwickler Don Ho, dass er die Sicherheit verbessert und eine weitere Sicherheitslücke darin geschlossen habe. Zu den Verbesserungen zählt etwa, dass der Updater jetzt die Integrität und Authentizität des vom Server zurückgelieferten XML überprüft; dazu setzt er auf XMLDSig, also kryptografische Signaturen. Der automatische Updater WinGUp entfernt zwei curl-Optionen, integriert die curl-Bibliothek statisch, anstatt sie dynamisch (und damit unter Umständen anfällig) zu laden, und startet nur noch signierte Programme. Auch das trägt zur Härtung der Sicherheit bei.
Außerdem schließt Notepad++ 8.9.2 eine Sicherheitslücke, die auftreten kann, wenn der Windows-Explorer ohne absoluten Pfad zur ausführbaren Datei gestartet wird. Dadurch könnte eine manipulierte „explorer.exe“ gestartet werden, sofern Angreifer auf das Arbeitsverzeichnis des Prozesses zugreifen können. Das würde zur Ausführung beliebigen Codes im Kontext der laufenden Anwendung führen (CVE-2026-25926, CVSS 7.3, Risiko „hoch“).
Update schließt Lücken und behebt Fehler
Neben diesen sicherheitsrelevanten Korrekturen bringt die neue Version auch weitere Fehlerbehebungen mit. So stürzt etwa die Plug-in-Installation in einigen Situationen nicht mehr ab. Im Kontextmenü gab es eine Regression, durch die Lokalisationskürzel nicht rechtsbündig ausgerichtet waren. Und neu dabei ist eine Funktion „Auswahl redigieren“.
Notepad++-Nutzer und -Nutzerinnen sowie IT-Verantwortliche sollten die bereitstehende Aktualisierung zügig installieren. In der Versionsankündigung stehen auch Downloads für unterschiedliche Plattformen sowie die Quelltexte bereit.
Die Sicherheitslücke im Notepad++-Updater wurde im Dezember vergangenen Jahres bekannt. Untersuchungsergebnisse vom Anfang Februar zeigen, dass die Angreifer, die darüber gezielt Malware verteilt hatten, offenbar staatliche Akteure waren.
Weiterlesen nach der Anzeige
(dmk)