heise PlusAbo
Anzeige
Alert!

Notepad++: Sicherheitsupdate gegen Codeschmuggel-LĂĽcke

Notepad++ verbessert Sicherheitsmechanismen und stopft eine neue LĂĽcke, die Angreifern das AusfĂĽhren von Schadcode erlaubt.

vorlesen Druckansicht 8 Kommentare lesen
Notepad++-Logo neben Achtung-Schild

(Bild: heise medien)

Lesezeit: 2 Min.
Security
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Notepad++ ist in Version 8.9.2 erschienen. Die neue Fassung verbessert Sicherheitsmechanismen und schließt eine hochriskante Sicherheitslücke, durch die Angreifer beliebigen Code ausführen können.

In der Versionsankündigung von Notepad++ 8.9.2 schreibt der Entwickler Don Ho, dass er die Sicherheit verbessert und eine weitere Sicherheitslücke darin geschlossen habe. Zu den Verbesserungen zählt etwa, dass der Updater jetzt die Integrität und Authentizität des vom Server zurückgelieferten XML überprüft; dazu setzt er auf XMLDSig, also kryptografische Signaturen. Der automatische Updater WinGUp entfernt zwei curl-Optionen, integriert die curl-Bibliothek statisch, anstatt sie dynamisch (und damit unter Umständen anfällig) zu laden, und startet nur noch signierte Programme. Auch das trägt zur Härtung der Sicherheit bei.

Außerdem schließt Notepad++ 8.9.2 eine Sicherheitslücke, die auftreten kann, wenn der Windows-Explorer ohne absoluten Pfad zur ausführbaren Datei gestartet wird. Dadurch könnte eine manipulierte „explorer.exe“ gestartet werden, sofern Angreifer auf das Arbeitsverzeichnis des Prozesses zugreifen können. Das würde zur Ausführung beliebigen Codes im Kontext der laufenden Anwendung führen (CVE-2026-25926, CVSS 7.3, Risiko „hoch“).

Update schlieĂźt LĂĽcken und behebt Fehler

Neben diesen sicherheitsrelevanten Korrekturen bringt die neue Version auch weitere Fehlerbehebungen mit. So stürzt etwa die Plug-in-Installation in einigen Situationen nicht mehr ab. Im Kontextmenü gab es eine Regression, durch die Lokalisationskürzel nicht rechtsbündig ausgerichtet waren. Und neu dabei ist eine Funktion „Auswahl redigieren“.

Videos by heise

Notepad++-Nutzer und -Nutzerinnen sowie IT-Verantwortliche sollten die bereitstehende Aktualisierung zĂĽgig installieren. In der VersionsankĂĽndigung stehen auch Downloads fĂĽr unterschiedliche Plattformen sowie die Quelltexte bereit.

Die SicherheitslĂĽcke im Notepad++-Updater wurde im Dezember vergangenen Jahres bekannt. Untersuchungsergebnisse vom Anfang Februar zeigen, dass die Angreifer, die darĂĽber gezielt Malware verteilt hatten, offenbar staatliche Akteure waren.

(dmk)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten