Notepad++ 8.8.9 schließt Update-Sicherheitslücke nach Traffic-Hijacking-Fällen

Notepad++ hat mit Version 8.8.9 eine kritische Schwachstelle im integrierten Updater WinGUp behoben. Laut Entwickler und Sicherheitsforschern war es Angreifern in Einzelfällen gelungen, den Netzwerkverkehr des Updaters abzufangen und umzuleiten – wodurch manipulierte ausführbare Dateien statt legitimer Updates heruntergeladen und ausgeführt wurden.

Die Analyse ergab eine unzureichende Prüfung der Integrität und Authentizität heruntergeladener Update-Pakete. War ein Angreifer in der Lage, den Datenstrom zwischen Client und Update-Infrastruktur zu manipulieren, konnte er ein fremdes Binary unterjubeln. Die neue Version härtet deshalb sowohl Notepad++ als auch WinGUp: Installationsdateien müssen nun eine gültige digitale Signatur und ein korrektes Zertifikat tragen, sonst bricht der Updateprozess sofort ab.

Die Untersuchungen zur genauen Ursache der beobachteten Hijacking-Vorfälle laufen weiter. Betroffen scheinen bislang nur wenige, gezielt angegriffene Organisationen.

Seit Version 8.8.7 sind alle Notepad++-Binaries mit einem GlobalSign-Zertifikat signiert; die früher genutzte Root-CA wird nicht mehr benötigt und sollte laut Projekt entfernt werden.

Related Posts

Fortinet: Kritische Lücke erlaubt SSO-Bypass via manipuliertem SAML

Fortinet warnt vor einer kritischen Schwachstelle (CVE-2025-59718, CVSS 9.1) in mehreren Produkten, darunter FortiOS, FortiWeb, FortiProxy und FortiSwitchManager. Durch eine fehlerhafte Prüfung kryptografischer Signaturen können Angreifer über manipulierte SAML-Nachrichten die FortiCloud-SSO-Authentifizierung umgehen – sofern die Funktion aktiviert ist.

Read More

Let’s Encrypt kürzt Zertifikatslaufzeit auf 45 Tage

Let’s Encrypt stellt seine TLS-Zertifikate künftig deutlich kürzer aus: Statt 90 Tagen gelten sie perspektivisch nur noch 45 Tage. Hintergrund ist eine Entscheidung des CA/Browser-Forums, die maximale Laufzeiten in der Web-PKI verbindlich reduziert.

Read More

glob CLI: Command-Injection-Lücke durch -c/--cmd ermöglicht Codeausführung

Die npm-Bibliothek glob weist eine schwere Schwachstelle (CVE-2025-64756) in ihrem CLI-Tool auf: Die Option -c/–cmd führt gefundene Dateinamen mit shell:true aus – und ermöglicht so Command Injection, wenn Dateien manipulierte Namen enthalten. Betroffen sind glob-Versionen ab 10.2.0 bis 10.4.x sowie 11.0.x; abgesichert wurde der Fehler in den Releases 10.5.0 und 11.1.0.

Read More