Notepad++: Update bessert Schwachstelle im Installer aus

Notepad++ schließt in der neuen Version 8.9.6 eine Sicherheitslücke im Installer. Die Risikobewertung ist noch nicht eindeutig, ein aufgeführter CVE-Eintrag noch nicht veröffentlicht.

In der Versionsankündigung schreibt der Notepad++-Entwickler Don Ho, dass die Schwachstelle Version 8.9.4 und 8.9.5 von Notepad++ betreffe, in der letzteren Fassung jedoch einige Installer-bezogene Regressionen bereits ausgebessert wurden. Es handelt sich um die Lücke mit dem CVE-Eintrag CVE-2026-46710, der bislang jedoch noch nicht veröffentlicht wurde. Das CERT-Bund vom Bundesamt für Sicherheit in der Informationstechnik (BSI) kommt zur Einschätzung, dass der Schweregrad gemäß CVSS 7.3 erreicht, also als Risiko „hoch“ eingestuft wird.

Gemäß alter Programmiererdoktrin ist daher derzeit der Code die Dokumentation. Im zugehörigen Commit zur Schwachstelle schreibt Ho, dass der Dateipfad nun aus der Registry bezogen anstatt hartkodiert wird. Das bezieht sich auf den Aufruf von „powershell“, die jedoch zuvor ohne jedweden Pfad aufgerufen wurde. Das legt zumindest die Vermutung nahe, dass ein Angreifer eine bösartige Datei mit dem Namen „powershell.exe“ in den Windows-Suchpfad hätte legen können, der dann beim Start der Installation oder eines Updates ausgeführt wird.

Update manuell anwenden

Die aktualisierte Version findet sich auf der Notepad++-Download-Webseite. Der interne Update-Mechanismus meldet zum Meldungszeitpunkt bei Aufruf, dass es kein allgemein verfügbares Update nach v8.9.5 gebe. Auch der Aufruf von „winget upgrade –all“ an der Windows-Eingabeaufforderung fördert die aktualisierte Version des mächtigen Textwerkzeugs bislang noch nicht auf das Laufwerk. Wer sich also jetzt schon schützen möchte, muss selbst Hand anlegen und das Update herunterladen und installieren.

Ende vergangenen Jahres wurde eine Sicherheitslücke im Update-Mechanismus von Notepad++ von staatlichen Akteuren missbraucht. Sie haben damit Malware auf Rechner der Opfer verfrachtet.

(dmk)