Notepad++ hat mit Version 8.8.9 eine kritische Schwachstelle im integrierten Updater WinGUp behoben. Laut Entwickler und Sicherheitsforschern war es Angreifern in Einzelfällen gelungen, den Netzwerkverkehr des Updaters abzufangen und umzuleiten – wodurch manipulierte ausführbare Dateien statt legitimer Updates heruntergeladen und ausgeführt wurden.
Die Analyse ergab eine unzureichende Prüfung der Integrität und Authentizität heruntergeladener Update-Pakete. War ein Angreifer in der Lage, den Datenstrom zwischen Client und Update-Infrastruktur zu manipulieren, konnte er ein fremdes Binary unterjubeln. Die neue Version härtet deshalb sowohl Notepad++ als auch WinGUp: Installationsdateien müssen nun eine gültige digitale Signatur und ein korrektes Zertifikat tragen, sonst bricht der Updateprozess sofort ab.
Die Untersuchungen zur genauen Ursache der beobachteten Hijacking-Vorfälle laufen weiter. Betroffen scheinen bislang nur wenige, gezielt angegriffene Organisationen.
Seit Version 8.8.7 sind alle Notepad++-Binaries mit einem GlobalSign-Zertifikat signiert; die früher genutzte Root-CA wird nicht mehr benötigt und sollte laut Projekt entfernt werden.
