Es gibt mal wieder eine Warnung vor schweren Sicherheitslücken im beliebten Windows-Editor Notepad++. Es sind gleich drei Schwachstellen, die geschlossen wurden. Zwei dieser Schwachstellen ermöglichen die Ausführung von beliebigem Code auf dem Computer des Opfers.
Ich bin über nachfolgenden Tweet auf den Hinweis zu den drei Schwachstellen CVE-2026-48770, CVE-2026-48778 und VE-2026-48800 gestoßen.
- CVE-2026-48770: Durch eine fehlerhafte Struktur wird ein Absturz der Anwendung verursacht.
- CVE-2026-48778: Die Sicherheitslücke ermöglicht die Ausführung von beliebigem Code über config.xml-Dateien.
- CVE-2026-48800: Die Sicherheitslücke ermöglicht die Ausführung von beliebigem Code über shortcuts.xml-Dateien.
Der Entwickler von Notepad++ hat zum 26. Mai 2026 seine neue Version Notepad++ v8.9.6.1 veröffentlicht, in der die Schwachstellen gefixt sind. Die Schwachstellen sind in diesem Report genannt.
MVP: 2013 – 2016
Vielleicht sollte erwähnt werden, das
a) der Code dann "nur" im Benutzerkontext läuft
und
b) dazu Dateien in %APPDATA%\Notepad++\ verändert/geschrieben werden müssen
Wenn der Angreifer schon b) tun kann, hat er eh schon (fast) Kontrolle über den PC.
Keine Ahnung wie/warum hier eine CVSS von 7.8 vergeben wurde.
Und der DoS gegen die Anwendung? CVSS 5.0?! Also bitte
lg
Verstehe ich das richtig dass diese Sicherheitslücke nur ausgenutzt werden kann, wenn der Angreifer bereits irgendwie Schreibzugriff auf die config Dateien von Notepad++ erlangt?
Jepp, das verstehst Du richtig.
Ich gehe davon aus (und hoffe), dass somit Firmengeräte eher weniger gefährdet sind.
Das Problem sind aber die Personal-Users, da hat ja nahezu jeder Adminrechte.
… die der User/immer/ hat. die config liegt per Default in %appdata%
Wer einen "local process in the same interactive Windows session" kontrolliert bzw. die Konfigurationsdateien von Notepad++ bearbeiten kann, ist bereits so weit drin, dass er Notepad++ auch nicht mehr braucht.
Diese Einstufungen sind absurd.
Alternative: Notepad2 von Florian Balmer. Auch mit Syntax-Highlighting für etliche Sprachen, Konfiguration aber mit .ini- statt .xml-Datei, somit schon mal keine XML-Vulnerabilities.
Nein! Oh! Doch! Und du meinst, es macht einen Unterschied, ob der Eintrag in einer ini oder xml Datei drin steckt, sofern er verstanden wird?
Und dass auch notepad2 eine config.xml nutzt, in der man zu ladende dll-Dateien eintragen kann, ist bekannt?
Eine Datei config.xml gibt es bei mir nicht, weder im Notepad2-Verzeichnis noch anderswo.
Ja, aber fährt man den mit Notepad++ nicht besser?
Es gibt doch keinen sachlichen Grund, warum jetzt Alternativen besser wären? Auch wenn Notepad++ weit verbeitet ist, durch die Presseberichte und auch generell durch den Nutzerkreis ist es jetzt vmtl. der noch am besten überwachte Editor.
Die Meldung ist echt Quatsch. XML-Dateien sind schlicht Textdateien mit einer bestimmten Struktur. Da kann man bei Notepad++ auch Aufrufe von fremden Programmen reinschreiben, um sich die Arbeit leichter zu machen. Wenn das schon ein Sicherheitsrisiko ist, dann ist auch jede Batch-Datei ein Hochsicherheitsrisiko und das gefährliche Programm zur Ausführung liefert Microsoft gleich mit, das CMD-Programm, das beliebige Batchdateien ausführt und sogar den direkten Aufruf anderer Programme zulässt. CMD ist also noch viel gefährlicher als Notepad++.
Dass man XML-Dateien manipulieren kann, wenn man erst mal auf einem Rechner drauf ist, ist ja nun auch eine Binsenwahrheit. Dann kann ich aber direkt auch alles machen, was im User-Kontext möglich ist.
Bevor hier weiter rumgemosert wird: Der Update auf 8.9.6.1 ist schon seit zwei Tagen raus.
Wer Notepad++ nutzt (wie ich), wird auch schnellstmöglich den Update installiert haben.
Auto Updates bzw. die Meldung dazu kommen aber einige Tage verzögert wenn ich mich recht erinnere
UniGetUi hats schon gestern ohne mein Zutun aktualisiert.
… und dank der (endlich eigenen) MSI-Installer auch innerhalb der Domäne deployed.
Die eigentliche Sicherheitslücke ist, dass bei allen gängigen Desktop-Betriebssystemen beliebige Programme auf beliebige Dateien zugreifen können. Die Pfade unter Appdata (bei Windows) dürften nur für die jeweilige Anwendung zugreifbar sein. Auf mobilen Betriebssystemen ist das seit langem (ab Werk) so gelöst, weshalb sie auch wesentlich sicherer sind.