Es gibt mal wieder eine Warnung vor schweren Sicherheitslücken im beliebten Windows-Editor Notepad++. Es sind gleich drei Schwachstellen, die geschlossen wurden. Zwei dieser Schwachstellen ermöglichen die Ausführung von beliebigem Code auf dem Computer des Opfers.
Ich bin über nachfolgenden Tweet auf den Hinweis zu den drei Schwachstellen CVE-2026-48770, CVE-2026-48778 und VE-2026-48800 gestoßen.
- CVE-2026-48770: Durch eine fehlerhafte Struktur wird ein Absturz der Anwendung verursacht.
- CVE-2026-48778: Die Sicherheitslücke ermöglicht die Ausführung von beliebigem Code über config.xml-Dateien.
- CVE-2026-48800: Die Sicherheitslücke ermöglicht die Ausführung von beliebigem Code über shortcuts.xml-Dateien.
Der Entwickler von Notepad++ hat zum 26. Mai 2026 seine neue Version Notepad++ v8.9.6.1 veröffentlicht, in der die Schwachstellen gefixt sind. Die Schwachstellen sind in diesem Report genannt.
MVP: 2013 – 2016
Vielleicht sollte erwähnt werden, das
a) der Code dann "nur" im Benutzerkontext läuft
und
b) dazu Dateien in %APPDATA%\Notepad++\ verändert/geschrieben werden müssen
Wenn der Angreifer schon b) tun kann, hat er eh schon (fast) Kontrolle über den PC.
Keine Ahnung wie/warum hier eine CVSS von 7.8 vergeben wurde.
Und der DoS gegen die Anwendung? CVSS 5.0?! Also bitte
lg
Verstehe ich das richtig dass diese Sicherheitslücke nur ausgenutzt werden kann, wenn der Angreifer bereits irgendwie Schreibzugriff auf die config Dateien von Notepad++ erlangt?
Jepp, das verstehst Du richtig.
Ich gehe davon aus (und hoffe), dass somit Firmengeräte eher weniger gefährdet sind.
Das Problem sind aber die Personal-Users, da hat ja nahezu jeder Adminrechte.
Wer einen "local process in the same interactive Windows session" kontrolliert bzw. die Konfigurationsdateien von Notepad++ bearbeiten kann, ist bereits so weit drin, dass er Notepad++ auch nicht mehr braucht.
Diese Einstufungen sind absurd.
Alternative: Notepad2 von Florian Balmer. Auch mit Syntax-Highlighting für etliche Sprachen, Konfiguration aber mit .ini- statt .xml-Datei, somit schon mal keine XML-Vulnerabilities.
Die Meldung ist echt Quatsch. XML-Dateien sind schlicht Textdateien mit einer bestimmten Struktur. Da kann man bei Notepad++ auch Aufrufe von fremden Programmen reinschreiben, um sich die Arbeit leichter zu machen. Wenn das schon ein Sicherheitsrisiko ist, dann ist auch jede Batch-Datei ein Hochsicherheitsrisiko und das gefährliche Programm zur Ausführung liefert Microsoft gleich mit, das CMD-Programm, das beliebige Batchdateien ausführt und sogar den direkten Aufruf anderer Programme zulässt. CMD ist also noch viel gefährlicher als Notepad++.
Dass man XML-Dateien manipulieren kann, wenn man erst mal auf einem Rechner drauf ist, ist ja nun auch eine Binsenwahrheit. Dann kann ich aber direkt auch alles machen, was im User-Kontext möglich ist.