Es gibt mal wieder eine Warnung vor schweren Sicherheitslücken im beliebten Windows-Editor Notepad++. Es sind gleich drei Schwachstellen, die geschlossen wurden. Zwei dieser Schwachstellen ermöglichen die Ausführung von beliebigem Code auf dem Computer des Opfers.
Ich bin über nachfolgenden Tweet auf den Hinweis zu den drei Schwachstellen CVE-2026-48770, CVE-2026-48778 und VE-2026-48800 gestoßen.
- CVE-2026-48770: Durch eine fehlerhafte Struktur wird ein Absturz der Anwendung verursacht.
- CVE-2026-48778: Die Sicherheitslücke ermöglicht die Ausführung von beliebigem Code über config.xml-Dateien.
- CVE-2026-48800: Die Sicherheitslücke ermöglicht die Ausführung von beliebigem Code über shortcuts.xml-Dateien.
Der Entwickler von Notepad++ hat zum 26. Mai 2026 seine neue Version Notepad++ v8.9.6.1 veröffentlicht, in der die Schwachstellen gefixt sind. Die Schwachstellen sind in diesem Report genannt.
MVP: 2013 – 2016
Vielleicht sollte erwähnt werden, das
a) der Code dann "nur" im Benutzerkontext läuft
und
b) dazu Dateien in %APPDATA%\Notepad++\ verändert/geschrieben werden müssen
Wenn der Angreifer schon b) tun kann, hat er eh schon (fast) Kontrolle über den PC.
Keine Ahnung wie/warum hier eine CVSS von 7.8 vergeben wurde.
Und der DoS gegen die Anwendung? CVSS 5.0?! Also bitte
lg
Verstehe ich das richtig dass diese Sicherheitslücke nur ausgenutzt werden kann, wenn der Angreifer bereits irgendwie Schreibzugriff auf die config Dateien von Notepad++ erlangt?
Alternative: Notepad2 von Florian Balmer. Auch mit Syntax-Highlighting für etliche Sprachen, Konfiguration aber mit .ini- statt .xml-Datei, somit schon mal keine XML-Vulnerabilities.