Notepad++: Update bessert Schwachstelle im Installer aus

Notepad++ schließt in der neuen Version 8.9.6 eine Sicherheitslücke im Installer. Die Risikobewertung ist noch nicht eindeutig, ein aufgeführter CVE-Eintrag noch nicht veröffentlicht.

In der Versionsankündigung schreibt der Notepad++-Entwickler Don Ho, dass die Schwachstelle Version 8.9.4 und 8.9.5 von Notepad++ betreffe, in der letzteren Fassung jedoch einige Installer-bezogene Regressionen bereits ausgebessert wurden. Es handelt sich um die Lücke mit dem CVE-Eintrag CVE-2026-46710, der bislang jedoch noch nicht veröffentlicht wurde. Das CERT-Bund vom Bundesamt für Sicherheit in der Informationstechnik (BSI) kommt zur Einschätzung, dass der Schweregrad gemäß CVSS 7.3 erreicht, also als Risiko „hoch“ eingestuft wird.

Gemäß alter Programmiererdoktrin ist daher derzeit der Code die Dokumentation. Im zugehörigen Commit zur Schwachstelle schreibt Ho, dass der Dateipfad nun aus der Registry bezogen anstatt hartkodiert wird. Das bezieht sich auf den Aufruf von „powershell“, die jedoch zuvor ohne jedweden Pfad aufgerufen wurde. Das legt zumindest die Vermutung nahe, dass ein Angreifer eine bösartige Datei mit dem Namen „powershell.exe“ in den Windows-Suchpfad hätte legen können, der dann beim Start der Installation oder eines Updates ausgeführt wird.

Notepad++: Update bessert Schwachstelle im Installer aus

Other newsrooms on this story

Related reading

7-Zip: Hochriskante Lücke erlaubt Einschleusen von Schadcode

Notepad++ Users, You May Have Been Hacked by China

Attackierte MS-Defender-Lücken und BitLocker-Schutzmaßnahmen

Privilegienausweitung in Linux: Lokale Nutzer können fremde Dateien lesen

PostgreSQL: Updates stopfen hochriskante Sicherheitslecks

Windows-Update-Vorschau: App-Start-Turbo und bekannte Installationsprobleme