Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Im Dezember 2025 hatte Don Ho, Entwickler des bekannten Texteditor Notepad++, bekanntgegeben, dass es potenziell möglich gewesen war, über die Update-Infrastruktur des Tools fremde Daten einzuschleusen. Notepad++ 8.8.9 ging dagegen vor. Jetzt steht fest: Die Lücke wurde ausgenutzt, mutmaßlich von Hackern aus China.
Ende 2025 erklärte Don Ho, die Schwachstelle hätte nicht direkt in Notepad++ gelegen, sondern den von der Anwendung genutzten Updater WinGUp betroffen.
Also wenn Notepad++ nicht prüft, dass das Update vom Entwickler signiert ist bevor es installiert wird ist das eine Schwachstelle. Don't trust the infrastructure!
Wenn ich etwas installiere, schalte ich automatische Updates immer sofort aus und stoße die erst an wenn ich es selber für nötig halte. Gerade bei so kleinen Programmen wie Notepad++ die sowieso nur lokal laufen, brauche ich auch nicht immer das neueste Update sofern mir nichts fehlt und alles funktioniert,
In dem Fall hab ich das Update manuell installiert aber hätte ich davon damals nichts gelesen, hätte ich wohl bis zum Neuaufsetzen des Rechners halt noch ne komplett veraltete Version genutzt weil ich Notepad++ in der Regel nur einmal installiere und danach nie Update.
Bitter, aber im Artikel fehlt, dass im kommenden Update ein Prüfungszertifikat eingebaut wird, womit solche Szenarien mit dem Updater gar nicht mehr vorkommen sollten.
Wenn man vollautomatische Updates abschaltet, kann ich das nachvollziehen.
Update-Benachrichtigungen sollte man aber meiner Meinung nach aktiv lassen, weil nicht jede Software so populär/prominent ist, dass man von Updates was mitbekommt — die fixen ja oft genug auch Sicherheitslücken. Wer alle paar Wochen auf der Homepage des Autors nachsieht oder sowas wie Chocolatey/WinGet/… benutzt — ok. Die „Updates installiere ich generell nie, außer eins hat ein absolut obergeiles neues Feature, ohne das ich nicht mehr leben kann“-Fraktion kann ich wegen der Sicherheits-Problematik aber nicht verstehen.
Bzgl automatische Updates abschalten - letztlich gibt es sicher ungleich mehr Sicherheitslücken durch veraltete Versionen als durch infizierte Updates. Wer das laufend und zuverlässig manuell pflegt soll das tun, der Rest fährt mit automatischen Updates vermutlich besser.
So ganz genau kann man das imho nicht sagen weil ja nicht die Version selbst sondern der Updateserver die Quelle wer - war ab Juni 2025 ein automatisches Update gemacht hat ist potentiell betroffen.
In der Regel wird das irgendwo ab 8.8.2 / 8.8.3 losgehen.
In der Praxis sollte einfach jeder ein manuelles Update ausführen der nicht mindestens Version 8.8.9 bereits manuell installiert hat.
Also wenn Notepad++ nicht prüft, dass das Update vom Entwickler signiert ist bevor es installiert wird ist das eine Schwachstelle. Don't trust the infrastructure!
Mich verwundert eh, dass nicht viel mehr passiert.
Die Kette, wo angegriffen werden kann, ist sehr lang und wir installieren uns sehr viele Tools aus verschiedensten Quellen, in der Hoffnung, dass da schon "jemand" aufpasst.
