Notepad++ теперь на «двойном замке». Хакерам придётся искать другую жертву, если вы уже обновились
NewsMakerАвтор проекта пошёл на крайние меры, чтобы спасти репутацию «народного блокнота».
Разработчики Notepad++ выпустили обновление безопасности 8.9.2, чтобы закрыть слабые места, которыми воспользовалась продвинутая группа с китайским следом. Злоумышленники перехватывали механизм обновлений и выборочно подсовывали вредоносные файлы тем, кто представлял интерес.
Сопровождающий проекта Дон Хо сообщил , что в обновлении применили схему «двойного замка», которая должна сделать цепочку обновления устойчивой к подмене. Речь идёт о двух проверках: в версиях 8.8.9 и новее Notepad++ уже сверяет подпись установщика, скачанного с GitHub, а в 8.9.2 добавили проверку подписи XML, который возвращает сервер обновлений на notepad-plus-plus.org.
Дополнительно усилили компонент автообновления WinGUp. Из него убрали libcurl.dll, чтобы снизить риск подгрузки подменённой библиотеки, отказались от двух небезопасных SSL-настроек cURL и ограничили операции управления плагинами только программами, подписанными тем же сертификатом, что и WinGUp.
В 8.9.2 также исправили уязвимость высокой серьёзности CVE-2026-25926 с оценкой CVSS 7.3. Она связана с небезопасным путём поиска при запуске Windows Explorer без абсолютного пути к исполняемому файлу. Если атакующий контролирует рабочий каталог процесса, при определённых условиях это могло привести к запуску поддельного explorer.exe и выполнению произвольного кода в контексте работающего приложения.
Разработчики Notepad++ выпустили обновление безопасности 8.9.2, чтобы закрыть слабые места, которыми воспользовалась продвинутая группа с китайским следом. Злоумышленники перехватывали механизм обновлений и выборочно подсовывали вредоносные файлы тем, кто представлял интерес.
Сопровождающий проекта Дон Хо сообщил , что в обновлении применили схему «двойного замка», которая должна сделать цепочку обновления устойчивой к подмене. Речь идёт о двух проверках: в версиях 8.8.9 и новее Notepad++ уже сверяет подпись установщика, скачанного с GitHub, а в 8.9.2 добавили проверку подписи XML, который возвращает сервер обновлений на notepad-plus-plus.org.
Дополнительно усилили компонент автообновления WinGUp. Из него убрали libcurl.dll, чтобы снизить риск подгрузки подменённой библиотеки, отказались от двух небезопасных SSL-настроек cURL и ограничили операции управления плагинами только программами, подписанными тем же сертификатом, что и WinGUp.
В 8.9.2 также исправили уязвимость высокой серьёзности CVE-2026-25926 с оценкой CVSS 7.3. Она связана с небезопасным путём поиска при запуске Windows Explorer без абсолютного пути к исполняемому файлу. Если атакующий контролирует рабочий каталог процесса, при определённых условиях это могло привести к запуску поддельного explorer.exe и выполнению произвольного кода в контексте работающего приложения.