Freier Editor Notepad++ 8.9.2: Neues Update-Konzept soll für mehr Sicherheit sorgen

Nach den Vorkommnissen rund um die Update-Infrastruktur und manipulierte Aktualisierungen bei Notepad++, die dem freien Text-Editor einiges an Reputation gekostet haben dürften, will Entwickler Don Ho die Anwendung mit einem neuen Sicherheitskonzept deutlich widerstandsfähiger machen.

Signaturen und Zertifikate sollen strenger geprüft werden

Bereits vor einiger Zeit hatte dieser ein neues Vorgehen bei Updates in Notepad++ angekündigt: So sollen die vom Update-Server zurückgegebenen XML-Daten künftig signiert (XMLDSig) sein sowie einer strikten Zertifikats- und Signaturprüfung unterliegen. Damit sollen laut Ho die „schwächsten Glieder im Notepad++-Update-Prozess“ gestärkt werden.

Dafür sollen künftig zwei unterschiedliche und voneinander unabhängige Prüfungen von Signaturen und Zertifikaten erfolgen. Diese „Doppelsicherung“ soll den Update-Prozess bei Notepad++ weiter stärken und ihn „robuster und effektiv unangreifbar“ machen. Darüber hinaus wurden Anpassungen am Auto-Update-Tool WinGUp vorgenommen. So entfällt unter anderem die Abhängigkeit von libcurl.dll, um das Risiko des DLL-Side-Loading auszuschließen. Mit CURLSSLOPT_ALLOW_BEAST und CURLSSLOPT_NO_REVOKE wurden zudem zwei unsichere cURL-SSL-Optionen entfernt. Um die Sicherheit weiter zu erhöhen, wurde die Ausführung der Plugin-Verwaltung auf Programme beschränkt, die mit demselben Zertifikat wie WinGUp signiert wurden.

Auf Wunsch lässt sich der Auto-Updater jederzeit während der UI-Installation abwählen oder das MSI-Paket über die Anweisung msiexec /i npp.8.9.2.Installer.x64.msi NOUPDATER=1 anfordern.

Problem tiefgreifender als gedacht

Ende 2025 hatte Ho erklärt, dass die Schwachstelle nicht unmittelbar mit Notepad++ zusammenhänge, sondern im Updater WinGUp zu finden sei. Anwender sollten daher das Update auf Version 8.8.9 manuell installieren und nicht über den Updater beziehen, um manipulierte Dateien zu umgehen. Neue Erkenntnisse zeigten jedoch, dass das Problem komplexer war als zunächst angenommen und der eigentliche Angriff auf Ebene des Providers stattfand, auf dem die Update-Infrastruktur betrieben wurde.

Laut Don Ho waren die Angreifer zwischen Juni und Dezember 2025 auf den Update-Servern aktiv, inzwischen wurde der Hoster gewechselt. Einer Analyse von Rapid7 zufolge soll die APT-Gruppe Lotus Blossom aus China hinter den Angriffen stehen und die Lücke gezielt ausgenutzt haben.

Weitere Änderungen und Verbesserungen in Version 8.9.2

Neben den genannten Sicherheitsverbesserungen wurden in der nun ausgerollten Version 8.9.2 außerdem mehrere Fehler behoben und kleinere Funktionen ergänzt. So erhalten Nutzer der Anwendung ab sofort die Möglichkeit, Auszüge auszuwählen. Darüber hinaus wurde eine fehlerhafte Verarbeitung bei der Plugin-Installation korrigiert, die in der Vergangenheit zu Abstürzen führen konnte. Ebenso wurde ein Regressionsfehler behoben, durch den die Lokalisierung der Kontextmenü-Verknüpfung nicht rechtsbündig dargestellt wurde.

Eine komplette Übersicht über die Änderungen geben die ausführlichen Release Notes.

Ab sofort verfügbar

Notepad++ 8.9.2 ist ab sofort auf der Webseite des Entwicklers verfügbar. Alternativ kann der freie Editor für Windows auch wie gewohnt bequem über den am Ende dieser Meldung angebrachten Link aus dem Download-Bereich von ComputerBase bezogen werden.