Notepad++: Lücken erlauben Einschleusen von Schadcode und Befehlen

Summary

Ein weiteres Update steht für Notepad++ bereit. Es schließt drei Sicherheitslücken, von denen zwei als hohes Risiko eingestuft sind und Angreifern ermöglichen, etwa Befehle oder gar Schadcode einzuschmuggeln und auszuführen. Weiterlesen nach der Anzeige In der Release-Ankündigung zu Notepad++ v8.9.6.1 schreibt Entwickler Don Ho, dass die neue Version die drei Schwachstellen ausbessert. In der Konfigurationsdatei „config.xml“ gibt es keine Einschränkung für den Parameter „commandLineInterpreter“, sodass etwa Angreifer mit Nutzerrechten den Eintrag anpassen oder mittels bösartigem .lnk eigene Dateien starten lassen können. Damit diese Datei gestartet wird, müssen Opfer „Datei“ – „Aktuellen Ordner öffnen“ und dort „Eingabeaufforderung (cmd)“ auswählen. Die Lösung sieht vor, die erlaubten Einträge etwa auf cmd.exe, powershell.exe oder bash.exe zu beschränken, eine Pfadprüfung sowie eine Rückfrage bei Nutzern zu stellen (CVE-2026-48778, CVSS 7.8, Risiko „hoch“). Eine ähnliche Schwachstelle öffnet das „<Command>“-Tag innerhalb von „<UserDefinedCommands>“ in der „shortcuts.xml“-Datei. Die führt aus, was immer dort eingetragen ist, nach dem Klick auf den entsprechenden Eintrag unter „Ausführen“ im Notepad++-Menü. Hier soll ebenfalls die Nutzer-Rückfrage vor Ausführung helfen oder etwa eine Warnung, wenn dort neue Einträge auftauchen, die nicht über die Programm-GUI angelegt wurden (CVE-2026-48800, CVSS 7.8, Risiko „hoch“). Die dritte Lücke ermöglicht lokalen Prozessen, „WM_COPYDATA“-Nachrichten an Notepad++ zu schicken; mit präparierten Anfragen bringt das Notepad++ zum Absturz, ein Denial-of-Service ist möglich (CVE-2026-48770, CVSS 5.0, Risiko „mittel“). Aktualisierte Software-Version Auf der Download-Seite des Notepad++-Projekts steht die neue Version in verschiedenen Formaten zum Herunterladen bereit. Die aktualisierte Software müssen Nutzerinnen und Nutzer derzeit noch manuell herunterladen und überinstallieren. Der integrierte Update-Mechanismus von Notepad++ v8.9.5 m...