Ein weiteres Update steht für Notepad++ bereit. Es schließt drei Sicherheitslücken, von denen zwei als hohes Risiko eingestuft sind und Angreifern ermöglichen, etwa Befehle oder gar Schadcode einzuschmuggeln und auszuführen.

In der Release-Ankündigung zu Notepad++ v8.9.6.1 schreibt Entwickler Don Ho, dass die neue Version die drei Schwachstellen ausbessert. In der Konfigurationsdatei „config.xml“ gibt es keine Einschränkung für den Parameter „commandLineInterpreter“, sodass etwa Angreifer mit Nutzerrechten den Eintrag anpassen oder mittels bösartigem .lnk eigene Dateien starten lassen können. Damit diese Datei gestartet wird, müssen Opfer „Datei“ – „Aktuellen Ordner öffnen“ und dort „Eingabeaufforderung (cmd)“ auswählen. Die Lösung sieht vor, die erlaubten Einträge etwa auf cmd.exe, powershell.exe oder bash.exe zu beschränken, eine Pfadprüfung sowie eine Rückfrage bei Nutzern zu stellen (CVE-2026-48778, CVSS 7.8, Risiko „hoch“).

Eine ähnliche Schwachstelle öffnet das „“-Tag innerhalb von „“ in der „shortcuts.xml“-Datei. Die führt aus, was immer dort eingetragen ist, nach dem Klick auf den entsprechenden Eintrag unter „Ausführen“ im Notepad++-Menü. Hier soll ebenfalls die Nutzer-Rückfrage vor Ausführung helfen oder etwa eine Warnung, wenn dort neue Einträge auftauchen, die nicht über die Programm-GUI angelegt wurden (CVE-2026-48800, CVSS 7.8, Risiko „hoch“). Die dritte Lücke ermöglicht lokalen Prozessen, „WM_COPYDATA“-Nachrichten an Notepad++ zu schicken; mit präparierten Anfragen bringt das Notepad++ zum Absturz, ein Denial-of-Service ist möglich (CVE-2026-48770, CVSS 5.0, Risiko „mittel“).

Aktualisierte Software-Version

Auf der Download-Seite des Notepad++-Projekts steht die neue Version in verschiedenen Formaten zum Herunterladen bereit. Die aktualisierte Software müssen Nutzerinnen und Nutzer derzeit noch manuell herunterladen und überinstallieren. Der integrierte Update-Mechanismus von Notepad++ v8.9.5 meldet, die Software sei aktuell – Ho hat die neuen Releases (auch die Version v8.9.6) also noch nicht darüber freigegeben.

Ende vergangener Woche hatte Don Ho Version v8.9.6 von Notepad++ veröffentlicht. Sie schloss eine Sicherheitslücke im Installer.

(dmk)

In Litauen sorgt ein großangelegter Diebstahl von mehr als 600.000 Datensätzen aus einem staatlichen Register für Aufsehen und Sicherheitsbedenken. Staatspräsident Gitanas Nauseda bezeichnete den Vorfall nach einer Sitzung des Nationalen Sicherheitsrates als eine Angelegenheit der nationalen Sicherheit. „Es gibt Anzeichen dafür, dass es sich um einen von feindlichen Staaten organisierten Cyberangriff handelte“, sagte er einem Bericht des litauischen Rundfunks zufolge. Nähere Angaben dazu machte das Staatsoberhaupt des baltischen EU- und Nato-Landes nicht.

Präsident spricht von Cyberangriff

Die Generalstaatsanwaltschaft in Vilnius hatte zuvor Ende vergangener Woche über ein schweres Datenleck beim staatlichen Registerzentrum informiert, das für die amtlichen Register und Bürgerdatenbanken zuständig ist. Betroffen gewesen sei vor allem das Immobilienregister und das Register juristischer Personen. Unbekannte hatten demnach Zugangsdaten von einer Behörde genutzt, die eigentlich zum Abruf dieser Informationen berechtigt gewesen seien. Der Leiter des Zentrums ist deshalb von seinem Posten zurückgetreten, die Behörde reagierte mit zusätzlichen Cybersicherheitsmaßnahmen.

Was geschehen ist, sei unerträglich und dürfe sich nicht wiederholen, sagte Nauseda. Weiter kritisierte das Staatsoberhaupt des 2,8-Millionen-Einwohner-Landes die Regierung für die verzögerte Bekanntgabe des Vorfalls, der sich bereits Ende März zugetragen habe. Dass die Öffentlichkeit erst ein bis zwei Monate später darüber informiert wurde, sei nicht zu rechtfertigen, sagte der nach eigenen Angaben selbst vom Datenleck betroffene Präsident.

Sorge vor Betrug und Identitätsdiebstahl

Nach Angaben des Zentrums seien Daten aus Grundbuchauszügen – Namen, Nachnamen, Personenkennziffern, Geburtsdaten und Informationen zu Immobilien – entwendet worden. Bislang gebe es nach Angaben von Nauseda keine Hinweise darauf, dass die gestohlenen Daten dazu verwendet wurden, um Personen Schäden oder finanzielle Verluste zuzufügen. Weiterhin besteht aber das Risiko, dass sie von Betrügern missbraucht werden könnten.

(dmk)

Im LiteSpeed-Plugin für cPanel klafft eine Sicherheitslücke, die der Hersteller als kritisch einstuft. Die US-amerikanische IT-Sicherheitsbehörde CISA warnt, dass Angriffe darauf beobachtet wurden. Aktualisierte Software steht bereit.

Die CISA nennt in ihrer Warnung lediglich die attackierte Schwachstelle. Details zu Art und Umfang der Angriffe verrät die Behörde jedoch nicht. Ein eigener Blogbeitrag von LiteSpeed liefert mehr Informationen. Darin stuft das Unternehmen das Update auf Version 2.4.7 oder neuer als dringend ein; seit Version 2.4.5 des Plugins ist das Leck gestopft. Es bessert eine Schwachstelle aus, die das End-User-Plugin für cPanel betrifft. Es handelt sich um ein Leck, das Angreifern das Ausweiten der Rechte ermöglicht. Jeder cPanel-User kann den Fehler in der Funktion lsws.redisAble missbrauchen, um beliebigen Code als root auszuführen (CVE-2026-48172, CVSS 9.8, Risiko „kritisch“). Die Lücke wird demnach in freier Wildbahn bereits angegriffen, verwundbar sind die Versionen 2.3 bis 2.4.4 des Plugins für cPanel.

Prüfung auf erfolgreiche Angriffe

LiteSpeed liefert auch einen Befehl mit, mit dem Admins prüfen können, ob der eigene Server betroffen ist:

grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null

Kommt kein Ergebnis zurück, wurde der Server nicht angegriffen. Sofern jedoch Ausgaben erscheinen, sollten IT-Verantwortliche prüfen, ob die IPs zulässig sind und sie gegebenenfalls blockieren. Außerdem sollten in dem Fall die Systemprotokolle untersucht werden, ob die Angreifer Veränderungen vorgenommen haben. Das hilft natürlich nur in den Fällen, in denen Angreifer ihre Spuren nicht verwischt und etwa die Logs bereinigt haben.

cPanel-Admins haben im Mai bereits mehrmals Software-Updates installieren müssen. Vor rund zwei Wochen haben Sicherheitspatches etwa Codeschmuggel-Lücken in der Webserver- und Verwaltungssoftware cPanel und WebHost Manager (WHM) geschlossen.

(dmk)