Beim weit verbreiteten Texteditor Notepad++ wurde eine sicherheitsrelevante Schwachstelle in der automatischen Update-Funktion bekannt. Konkret betraf das Problem den integrierten Updater, über den neue Versionen direkt aus dem Programm heraus installiert werden können. Unter bestimmten Umständen war es möglich, dass statt der vorgesehenen Update-Dateien manipulierte Programme auf das System gelangten.
Ursache war eine unzureichende Überprüfung der heruntergeladenen Update-Dateien. Wurde der Netzwerkverkehr zwischen dem Auto-Updater und dem Update-Server manipuliert, bestand das Risiko, dass fremde ausführbare Dateien installiert werden konnten. Damit eröffnete sich theoretisch ein Angriffsvektor zur Einschleusung von Schadsoftware.
Die Entwickler von Notepad++ haben schnell reagiert und das Problem mit der Version 8.8.9 behoben. In dieser Version wurde der Update-Mechanismus überarbeitet. Vor der Installation wird nun überprüft, ob die heruntergeladenen Dateien korrekt signiert sind und von einer vertrauenswürdigen Quelle stammen. Schlägt diese Prüfung fehl, wird der Update-Vorgang abgebrochen.
Nutzerinnen und Nutzer von Notepad++ wird dringend empfohlen, auf die aktuelle Version zu aktualisieren oder Updates ausschließlich manuell über die offizielle Website durchzuführen. Wer auf Nummer sicher gehen möchte, kann die automatische Update-Funktion in den Programmeinstellungen deaktivieren.
