News Updater angreifbar: Notepad++ 8.8.9 sollte umgehend manuell installiert werden

[Anoubis]

Das Update habe ich heute sofort konzernweit auf allen betroffen Clients ausgerollt. Ohne Testphase 😅

 

[nuego]

Das klingt sehr unangenehm. Ich hoffe, dass alle Betroffenen rechtzeitig davon erfahren und das Update installieren sodass nicht noch mehr Schaden dadurch entsteht.

 

[Sweepi]

In jeder Ecke des Internets wird Panik geschoben, nirgendwo steht, was eigentlich das Problem sein soll.

Hier ein Zitat vom verlinkten Sicherheitsforscher:

This traffic is supposed to be over HTTPS, however it appears you may be to tamper with the traffic if you sit on the ISP level and TLS intercept. In earlier versions of Notepad++, the traffic was just over HTTP.

"It appears you may" - aha.

N++ lädt via HTTPS eine XML Datei, in der wiederum der HTTPS-Download Link zum Updater ist.
Wie genau ist das jetzt manipulierbar, ohne das einem die HTTPS-Verbindung um die Ohren fliegt?

 

[Abrexxes]

winget upgrade

Das ist ja noch schlimmer.

 

[dms]

Blöderweise ist meine ISO, die ich nach der kompletten Einrichtung und Installation aller wichtigen kleinen Programme erstellt hatte, hiermit kompromittiert

Solche Meldungen sind immer eine Lesekompetenzübung ..

der Updater ist angreifbar (als Beistellung) der Editor macht was er soll....

 

[Nexus02]

Klingt nach ähnlichem Angriffsvektor wie bei SmartTube.
Scheint ja neue Masche zu sein bei den Hackern.

Danke für die Info!

Werde wohl meinen fire TV Stick neu aufsetzen.

 

[xammu]

Wie genau ist das jetzt manipulierbar

Steht doch da TLS Intercept zur Notepad++ Seite in Verbindung mit wenigen Aufrufen

Because traffic to notepad-plus-plus.org is fairly rare, it may be possible to sit inside the ISP chain and redirect to a different download.

NP++ lädt das nun direkt von Github herunter, weil dort ein Abfangen der TLS Verbindung durch den Provider aufgrund der Masse an Aufrufen eher auffällt

In Notepad++ 8.8.8, downloads are forced to be from github.com, which is much more difficult to intercept covertly given the amount of GitHub users.

Im Prinzip ein Umleiten des Abfrage von NP++ auf einen eigenen Server in Verbindung mit einem anderen Zertifikat.

 

[Jaco_E]

Solche Meldungen sind immer eine Lesekompetenzübung ..

Danke für die Bewertung meiner Kompetenz. Bin immer ein Freund davon unterschwellig und elitär als dumm bezeichnet zu werden.

Ich korrigiere, dass ich das Image meiner Festplatte meinte und mich mit "iso" vertan habe.
Und da der Updater Teil meines Images ist, muss ich das im Hinterkopf behalten, sollte ich es einmal aufspielen wollen.

 

[def_]

Danke für die Meldung. Ich nutze meinen Windows Rechner eigentlich nur noch zum Spielen und für notepad++.

Für MacOS habe ich leider noch keine gute notepad++ Alternative gefunden.

 

[habichtfreak]

Der Auto-Updater hat eine Schwachstelle?

Also das was ich bei der Installation nicht abwählen kann? Ich mag diese Art von Selbstironie

 

[0x8100]

Für MacOS habe ich leider noch keine gute notepad++ Alternative gefunden.

sublime text (ist auch cross-plattform, muss man sich nicht umgewöhnen)

 

[dernettehans]

Muss wirklich schwerwiegend sein, bei mir in der Arbeit gab es noch nie eine so zügige und nachdrückliche Aufforderung, einen Hotfix sofort zu installieren, wie heute

Find ich ehrlich gesagt nicht, dass es schwerwiegend ist. Wie ich das verstehe muss der Angreifer Zugang zum PC haben oder es muss Traffic umgeleitet werden über DNS oder anderartiges routing, was nicht so einfach möglich ist, außer der PC und das Netzwerk sind schon infiziert.

Scheinbar wurde versucht den Update Server umzuleiten und dann wurde eine infizierte Update.exe runtergeladen. Das kann doch bei allen möglichen Programmen so passieren, die das Update nicht verifizieren auf Hash oder über andere Signierung. Und um das auszunutzen, muss man wie gesagt die Domain des Update Servers umleiten.

 

[ComputerJunge]

Bei mir wird bei über winget upgrade immer mit aktualisiert.

Blöderweise wurde darüber heute um ~17.30 noch keine neue Version (8.8.9) als verfügbar gemeldet.

 

[HOCLN2]

Für MacOS habe ich leider noch keine gute notepad++ Alternative gefunden.

Habe da schon mehrere ausprobiert, aber nutze Visual Studio Code mittlerweile aufm Mac.

 

[mibbio]

Blöderweise wurde darüber heute um ~17.30 noch keine neue Version (8.8.9) als verfügbar gemeldet.

Das WinGet-Repo ist halt weder von Microsoft selbst noch von den Entwicklern der jeweiligen Programme gepflegt. Das ist am ehesten mit dem AUR unter Arch Linux vergleichbar, wo die Community die "Pakete" (sind eigentlich nur ne Art Scripte, die von Winget ausgewertet werden) einreicht und aktualisiert. Da kann es dann auch mal ein paar Tage dauern, bis die aktuellste Version von Software XY dort eingepflegt ist.

 

[Siebenschläfer]

Also das was ich bei der Installation nicht abwählen kann? Ich mag diese Art von Selbstironie

Plugins Admin abwählen, der Auto-Updater ist eine Dependency.

 

[Vexz]

Für MacOS habe ich leider noch keine gute notepad++ Alternative gefunden.

Ich nutze zwar Linux und kein Mac, aber NP++ gibt es ebenso nicht für Linux und ich hatte deshalb beim Wechsel von Windows auf Linux nach einer Alternative gesucht. Ich nutze jetzt Visual Studio Code. Habe mir den so eingestellt, dass er wie ein einfacher Texteditor aussieht. Er bietet auch alle Funktionen, die ich so üblich brauche. Reicht mir also. Vielleicht auch für dich eine Option für Mac.

 

[JustAnotherTux]

Klingt nach ähnlichem Angriffsvektor wie bei SmartTube.
Scheint ja neue Masche zu sein bei den Hackern.

Wann war das denn bei SmartTube?

 

[BrollyLSSJ]

Das ist halt nicht Open Source

Da bin ich mir gerade unsicher. Einen Quelltext (oder eventuell einer Komponente vom Text Editor Pro) dazu auf Github gibt es. Aber die Entwcklung selber scheint nicht auf Github stattzufinden. So gesehen hast du dann Recht. Da ist Notepad++ dann besser. Eventuell warte ich auch auf Notepad Next. Der soll auch eine Neuinterpretation von Notepad++ sein.

Wann war das denn bei SmartTube?

Letzte Woche. Man sollte zügig auf die neue Version updaten. Bruder hatte mir dazu eine News von Tarnkappe geschickt.

 

[Don-DCH]

Hmm nach einem Windows Update hat sich Notepad auch neugestartet ich bin aktuell bei Version 8.8.5 Habe nicht geupdatet hatte das weggeklickt.
Weiß man ob meine Version auch schon betroffen sein kann?
Und muss ich Notepad Deinstallieren oder kann ich einfach die neue Version herunterladen und die aktualisiert sich drüber?