Der Entwickler des Editors Notepad++ weist in einem Beitrag zur neuen Version 8.8.9 auf ein Problem des Auto-Updaters hin. Dieser konnte vor der Version 8.8.9 missbraucht werden, um Malware zu verteilen (was wohl auch missbraucht wurde).
Bolko hatte im Diskussionsbereich auf das Problem hingewiesen (danke) und schrieb "Der Auto-Updater von Notepad++ konnte Malware installieren." Entwickler Don Ho hat das Ganze im Beitrag Notepad++ v8.8.9 release: Vulnerability-fix vom 9. Dezember 2025 offen gelegt – heise hat das Ganze in diesem Artikel aufgegriffen.
Auto-Updater war angreifbar
Laut Entwickler haben einige Sicherheitsexperten kürzlich Vorfälle von Traffic-Hijacking gemeldet, von denen Notepad++ betroffen war. Den Untersuchungen zufolge wurde der Datenverkehr von WinGUp (dem Notepad++-Updater) gelegentlich auf bösartige Server umgeleitet, was zum Download kompromittierter ausführbarer Dateien führte.
Bei der Überprüfung dieser Berichte wurde eine Schwachstelle in der Art und Weise, wie der Updater die Integrität und Authentizität der heruntergeladenen Update-Datei überprüft, gefunden. Falls ein Angreifer in der Lage ist, den Netzwerkverkehr zwischen dem Updater-Client und der Notepad++-Update-Infrastruktur abzufangen, kann er diese Schwachstelle ausnutzen, um den Updater dazu zu veranlassen, eine unerwünschte Binärdatei (anstelle der legitimen Notepad++-Update-Binärdatei) herunterzuladen und auszuführen.
Die Untersuchung zur Ermittlung der genauen Methode des Hijacking dauert noch an. Die Benutzer werden informiert, sobald konkrete Beweise für die Ursache vorliegen.
Schwachstelle in Notepad++ v8.8.9 behoben
Um diese Schwachstelle zu beheben und die von den Sicherheitsforschern geäußerten Bedenken hinsichtlich des Missbrauchs auszuräumen, hat der Entwickler in Notepad++ v8.8.9 einen Fix vorgenommen.
Ab dieser Version wurden Notepad++ und WinGUp so angepasst, dass die Signatur und das Zertifikat der heruntergeladenen Installationsprogramme während des Aktualisierungsvorgangs überprüft werden. Wenn die Überprüfung fehlschlägt, wird die Aktualisierung abgebrochen.
Man kann in den Einstellungen unter Optionen, Diverses die Option Auto-Updater auf Disable stellen, um automatische Updates zu verhindern. Die Notepad++ Version 8.8.9 mit dem Fix lässt sich hier herunterladen.
MVP: 2013 – 2016
Man war also nur evtl. betroffen wenn man die Autoupdatefunktion genutzt hat, da die umgeleitet wurde, wer die neueste Version direkt von der Herstellerseite geladen hat, war nicht betroffen… oder verstehe ich das falsch?
Es war ja nicht einmal ein genereller Angriff auf alle Notepad++ Nutzer sondern nur auf einzelne — wenn die Aussage mit dem 'gelegentlich' stimmt. Das riecht dann eher nach einem staatlichen Akteur in Verbindung mit Providern und evtl. auch Zertifizierungsstellen, um einzelne Anfragen gezielt auf einen anderen Server umzuleiten, der manipulierte Binaries ausliefert.
Ich meine, da war vor Jahren mal was ähnliches mit einem Multimedia-Programm (VLC, MPlayer, o.ä.), wo ebenfalls einzelnen Nutzern etwas untergeschoben werden sollte. Damals gab es vereinzelte Hinweise auf Merkwürdigkeiten im DNS, dass zeitweise und meist nur ganz kurz eine abweichende IP für den Download einer Komponente zurückgeliefert wurde. So aus der Erinnerung heraus.
Wieder mal Malware be Notepad++, wie öfters 😬
[Dalek-Stimme] Explain! Explain!
Ich habe, da ich nur notepadqq verwende (Linux-Pendant), mal nach "malware notepad++" gegoogled, und bis Seite 22 (!) kam einmal DLL Hijacking und einmal AddOn-Spoofing, der Rest bezog sich auf den genannten aktuellen Vorfall.
Sorry, aber der ganze Beitrag ist ein einziger Dummfug!
Betr. "Datenverkehr von WinGUp (dem Notepad++-Updater) gelegentlich auf bösartige Server umgeleitet, was zum Download kompromittierter ausführbarer Dateien führte.":
Schönen Gruss an die Notepad++ Fan Boys, welche auch in anderen Foren nicht müde wurden, das Hohelied auf diesen Editor anzustimmen und sich in ihrer Verklärung jeglichen Zweifel an Codebasis und Lieferkette verbaten. Wie stark hängt das Ding aktuell mit der Scintilla Integration zurück?
Sie dürfen gerne brauchbare Alternativen nennen für einen guten Editor unter Windows (nein, der Windows Default Editor ist keine Alternative).
Notepad++ ist der einzig wahre Texteditor unter Windows, es gibt nichts, was dem das Wasser reichen kann.
Prust! In solchen Einwürfen spiegelt sich halt auch die Einfalt eines Gutteils der Windows-Nutzerschaft, die sich vom Hersteller am Nasenring durch die KI-, Cloud- und Windows-11-Manege ziehen lässt und auch in Editorfragen einfallslos bleibt.
Labber nicht herum, sondern nenn einfach mal Alternativen die gut und günstig sind!
Sublime und Ultraedit kosten Geld und VSCode ist für einen "Texteditor" zu aufgebläht. Was bleibt übrig? Welche Software kann Notepad++ das Wasser reichen?
Na wahrscheinlichn "Notepad Plus-Plus".
Notepad3
(Ich bin nicht der, dem du geschrieben hast)
Focus-Editor (suche auf Github, ist geschrieben in Jai) könnte dir zusagen. Das Programm ist sehr simpel gehalten, aber modern und wirkt erstmal ziemlich wie Sublime Text. Manche finden, dass weniger mehr ist und es gibt schon eine beachtliche Gefolgschaft.
GUI:
– Focus-Editor
– 4Coder
Terminalartige:
– Neovim
– Emacs
Was sind den überhaupt "Alternativen"?
Man könnte jetzt auf ein anderes Programm wechseln, aber was konkret ändert sich da? Begibt man sich nicht evtl. in ein größeres Problem, wenn man jetzt auf irgendeinen Underdog setzt den erst recht Niemand überwacht? Wer hätte den von den Problem erfahren, wenn Notepad++ nicht so groß wäre? Die Frage ist doch, was ist konkret da besser/vertrauenserweckender?
Wenn die Angreifer nicht total verballert sind, dann nutzt man auch solche Gelegenheiten um Leute explizit auf andere (evtl. eigene) Programme zu treiben.
Ausser persönlichen Beleidigungen fällt manchen augenscheinlich nichts ein, bezeichnend.
Hmm…
Mal ehrlich: wo war da jetzt die "persönliche Beleidigung" im Beitrag von @Peter Vorstatt?
Doch nicht etwa "[…] die Einfalt eines Gutteils der Windows-Nutzerschaft, […]", oder?
Btw.:
Sorry, etwas OT, aber zeigt meines Erachtens auch ein allgemeines Problem unserer Gesellschaft im Meinungsaustausch auf – das offenbar permanent vorhandene "Persönlichkeitsempfinden".
Ich lasse es einfach mal alles stehen (obiger Diskurs war unproblematisch).
Ich habe gerade den Umzug des Blogs zum neuen Eigentümer angestoßen – ich hoffe, dass das alles kommende Woche ohne große Ausfälle über die Bühne geht. Werde da noch was zu schreiben. Ich bin im IT-Blog zwar unabhängig, was ich berichte – hat mir der neue Eigentümer die Tage nochmals versichert. Aber bezüglich der Moderation muss ich mir was einfallen lassen, dass vieles strikter durchgezogen wird. Wenn etwas zu arg am Thema weg mäandert und dann nur noch in gegenseitigen Beharkungen endet, ist mir das nicht wirklich recht – Meinungsaustausch hin oder her.
Ok, danke – ich hatte mich schon damit angefreundet, dass mein absolut nicht das Thema betreffender Beitrag (nicht umsonst hatte ich ihn als OffTopic deklariert) der Moderation anheim fällt.
Übrigens befürworte ich explizit eine "strengere" bzw. konsequentere Moderierung von mit zu viel "persönlichem Gehalt" versehenen Beiträgen – selbstverständlich gilt das dann ebenso für meine mglw. manchmal "kratzbürstig" formuliert erscheinenden Beiträge, obwohl ich glaube, dass die niemals mit persönlich angreifender Note versehen sind! 😉
@Peter Vorstatt: "Wie stark hängt das Ding aktuell mit der Scintilla Integration zurück?"
Scintilla Release 5.5.8 am 10. Nov. 2025 und wurde jetzt in der Version 8.8.9 integriert, also ungefähr einen Monat. Die Änderung wurde wohl aber schon vor 3 Wochen im Code gemacht.
Oder bezog sich die Frage auf etwas Anderes?
Danke.
Nach der Installation der MSI zeigt diese unter Software 8.8.8 an. Im eigentlichen Notepad++ stimmt die Version unter Info jedoch.
Korrekt. Hast Du schon richtig verstanden. Es waren offenbar auch gezielte Angriffe.
Notepad++ ersetzt in unserer Umgebung das "AI-verseuchte" Notepad von Microsoft.
Siehe auch Beitrag von Günter:
https://borncity.com/blog/2025/11/25/notepad-bekommt-mehr-ai-und-tabellen-wo-sind-wir-falsch-abgebogen/
Die Verteilung erfolgt über unsere UEM-Lösung.
Notepad++ ist in der Basis- bzw. Neuinstallation aller Clients enthalten.
Windows Notepad wird über Powershell aus dem Basis-Image bzw. der install.wim entfernt.
Zudem wird in allen Softwarepaketen die automatische Update-Funktion deaktiviert.
Dieses erfolgt über die Verteilung von RegKeys oder Settings unter %AppData%.
In dem Verteilungsskript von Notepad++ wird der Ordner
C:\Program Files\Notepad++\updater
gelöscht.
Bisher bzw. seit ca. 10 Jahern keinerlei Probleme.
"ersetzt" wünsche ich mir auch.
Gestern einen technisch nicht so fitten Kollegen gehabt, der sich wunderte, dass eine mit dem Editor geänderte Datei gar nicht geändert war: Er hatte einfach auf das "X" zum Schließen des Fenster geklickt – dass er dabei nicht nach dem Speichern gefragt wurde, war ihm gar nicht aufgefallen…
Damit werden auch Credentials zwischengespeichert – aber die KI wird's schon richten.
Das Verhalten ist aber sowohl bei dem normalen Windows 11 Notepad als auch bei Notepad++ der Fall, schließen des Fensters speichert den geänderten Inhalt irgendwo zwischen, Klick auf Speichern in der tatsächlichen Datei. War bei Windows 10 Notepad anders, da kam beim schließen der Dialog "Datei Speichern" mit Ja, Nein, Abbrechen.
Die Fakten auf den Punkt gebracht:
Korrigiert mich, wenn ich falsch liege, aber die Situation stellt sich folgendermaßen dar:
– Notepad++ selbst ist nicht kompromittiert, der Editor funktioniert einwandfrei
– Die Schwachstelle betrifft ausschließlich den integrierten Updater
– Wer in der Vergangenheit Updates installiert hat, ist mit an Sicherheit grenzender Wahrscheinlichkeit NICHT mit Malware in Berührung gekommen
Warum die Gefahr meiner Meinung nach in der Praxis minimal ist?
Es handelt sich hier nicht um ein verseuchtes offizielles Update, das flächendeckend verteilt wurde. Stattdessen erfordert ein erfolgreicher Angriff einen Man-in-the-Middle-Angriff, bei dem der Datenverkehr zwischen Updater und Download-Server auf eine manipulierte Seite umgeleitet wird.
Dafür müsste der Angreifer:
– Direkten Zugriff auf die Infrastruktur des Internet-Providers haben, ODER
– Den genutzten DNS-Anbieter kompromittiert haben, ODER
– Bereits den heimischen Router gekapert haben, um gezielt Traffic umzuleiten
Lohnt sich dieser Aufwand für den 0815 User?
Der erforderliche Aufwand ist enorm, und das, um am Ende möglicherweise an Social-Media-Passwörter oder ein paar Kröten auf dem Konto von Oma Else zu gelangen? Nein, solche Angriffe sind nur dann rentabel, wenn:
a) Große Unternehmen oder hochwertige Ziele im Visier sind, UND
b) Der zu erwartende Gewinn die hohen Kosten rechtfertigt
Mein Fazit:
Für Privatanwender in Europa bleibt diese Schwachstelle weitgehend ein theoretisches Risiko. Die mediale Berichterstattung neigt hier zur Dramatisierung. Eine Neuinstallation von Windows ist mit Sicherheit nicht erforderlich.
Allerdings: Ein Umstieg auf Linux ist natürlich trotzdem immer eine Überlegung wert.
Moin Anonym,
sehe ich sehr ähnlich, nach allem, was ich bislang zu dem Thema im Netz gelesen habe. Dass die Situation unschön ist, ist keine Frage – aber wie du bereits richtig geschrieben hast: Es wurden ja nicht die Repositories ansich mit verseuchten Binaries versehen, sondern für einen erfolgreichen Angriff ist scheinbar ein Eingreifen in den HTTPS/TLS-Datenverkehr bzw. eine Manipulation der DNS-Abfrage notwendig. Da vertraue ich jetzt einfach mal meinem Provider, dass sein DNS "sauber" ist, und meinem Router – und in öffentlichen WLAN-Netzen bin ich ohnehin so gut wie nicht bzw. wenn dann extrem vorsichtig.
Viele Grüße,
Martin
Ein Eintrag in die c:\windows\system32\…\hosts Datei würde auch funktionieren, um die anfällige Updatefunktion von NP++ zu missbrauchen. Aber wer die Datei manipulieren kann, ist schon lokaler Admin.
Korrekt es war eine schwachstelle die den Ziel Server nicht ausreichend geprüft hat bei einem Update Punkt. Um sich dort Maleware einzufangen muss also noch mehr gemacht werden als den Updater zu verwenden. Die Schwachstelle diente nur zum Transport und Installation auf speziellen ausgesuchten Clients.
Anscheinend war der private Key im Github Repository mit veröffentlicht worden, was dann ja eigentlich jede SSL Verschlüsselung sinnlos macht.
Interessant, dass dies bisher noch niemandem aufgefallen ist.
Ein Video von Heise Online dazu.
https://www.youtube.com/watch?v=XwYPz4OPkdw
Hat jemand geprüft, ob der Schlüssel inzwischen revoked und ersetzt wurde?