Updater angreifbar: Notepad++ 8.8.9 sollte umgehend manuell installiert werden

Entwickler Don Ho hat Notepad++ 8.8.9 veröffentlicht. Die neue Version behebt eine schwerwiegende Sicherheitslücke und sollte daher umgehend installiert werden. Da sich die Schwachstelle in der Update-Funktion befindet, muss die Aktualisierung jedoch manuell erfolgen, um die Lücke sicher zu schließen.

Sicherheitslücke wird bereits ausgenutzt

Nach Angaben des Entwicklers liegt die Schwachstelle nicht direkt in Notepad++ begründet, sondern betrifft den von der Anwendung genutzten Updater WinGUp. Über diese Lücke können Angreifer den Aktualisierungsprozess manipulieren und über ein gefälschtes Update in Form von Malware schadhaften Code einschleusen, mit dem sensible Daten abgegriffen oder das gesamte System übernommen werden kann. Deshalb sollte Notepad++ 8.8.9 manuell und nicht über die in die Anwendung integrierte Update-Funktion installiert werden, da nur so sichergestellt werden kann, dass die Lücke tatsächlich geschlossen wird.

Datenverkehr abgegriffen

Das Vorgehen, das bereits beobachtet und bestätigt wurde, basiert laut dem Sicherheitsexperten Kevin Beaumont auf einem Man-in-the-Middle-Angriff. Die Angreifer sollen dabei zudem in der Lage sein, den Datenverkehr zwischen der Update-Infrastruktur von Notepad++ und dem Zielsystem zu manipulieren und den Download auf eine andere Quelle umzuleiten. Selbst die Verwendung von HTTPS bietet in diesem Fall keinen ausreichenden Schutz. Durch diese Umstände sind die Angreifer in der Lage, Anwendern auch manipulierte Updates unterzuschieben, die die Schwachstelle nicht beseitigen und so den Eindruck erwecken, das System sei sicher, obwohl es weiterhin verwundbar bleibt.

Neue Sicherheitsmechanismen

Eigentlich sollte die Lücke bereits mit Version 8.8.8 behoben worden sein. Aufgrund der aktuellen Gefahrenlage waren jedoch weitere Anpassungen nötig, da nicht sichergestellt werden konnte, dass die Schwachstelle auf infizierten Systemen tatsächlich beseitigt wurde oder von Angreifern absichtlich offen gehalten blieb. Mit dem neuen Update ist Notepad++ aber in der Lage, Signaturen und Zertifikate künftiger Updates strenger zu prüfen und die Aktualisierung abzubrechen, falls diese Überprüfung fehlschlägt. Außerdem werden seit Version 8.8.8 alle Downloads ausschließlich über github.com abgewickelt, was Angriffe erheblich erschwert und die Sicherheit erhöht, da Manipulationen dort wesentlich schwieriger unbemerkt möglich sind. Neue Versionen sollten daher ausschließlich von dieser Plattform heruntergeladen werden.

Unternehmen, die Notepad++ zentral verwalten und aktualisieren, könnten laut Beaumont erwägen, notepad-plus-plus.org zu blockieren oder den Prozess gup.exe vom Internetzugang auszuschließen, auch wenn dies mit zusätzlichem Aufwand verbunden ist.

Opfer gezielt ausgesucht

Ho erklärte, dass die Untersuchungen zu der Schwachstelle weiterhin andauern. Beaumont zufolge wurde die Lücke bereits bei drei nicht näher genannten Organisationen „mit Interessen in Ostasien“ aktiv ausgenutzt. Für die Angriffe seien beträchtliche Ressourcen erforderlich gewesen, was darauf hindeutet, dass die Ziele gezielt ausgewählt wurden. Ebenso gezielt scheinen die Aktivitäten gewesen zu sein, die dem Anschein nach zur Ausspähung der Opfer dienten und vor rund zwei Monaten begonnen haben sollen. Beaumont betonte, dass den Entwickler selbst keine Schuld treffe, da die Schwachstelle auf die Funktionsweise des verwendeten Updaters zurückzuführen sei. Auf seinem Mastodon-Kanal will der Experte weitere Informationen veröffentlichen, sobald neue Erkenntnisse vorliegen.

Weiter Bugs beseitigt

Neben der Sicherheitslücke hat der Entwickler auch zahlreiche Fehlerkorrekturen vorgenommen und neue Funktionen integriert. So wurde die Code-Editor-Komponente Scintilla auf Version 5.5.8 aktualisiert, während die für lexikalische Analysen genutzte Bibliothek Lexilla nun in Version 5.4.6 vorliegt. Darüber hinaus können Anwender in Dokumenten künftig Zeilen nach ihrer Länge sortieren. Außerdem besteht nun die Möglichkeit, die Dateien „langs.xml“ und „stylers.xml“ der Benutzer anhand der entsprechenden XML-Modelldateien zu aktualisieren.

Ein Problem, das in der Vergangenheit zu Abstürzen beim Hashing großer Dateien mit SHA-256 geführt hatte, wurde ebenfalls beseitigt. Zudem wurde ein sich mit dem Update auf eine der letzten Version von Notepad++ eingeschlichener Fehler korrigiert, durch den die Funktion „Auswählen & Weiter suchen“ nicht korrekt arbeitete. Auch das gelegentliche Einfrieren beim Wechseln zwischen Registerkarten infolge der Perl-Funktionsliste wurde behoben. Gleiches gilt für die bislang falsche Umsetzung, bei der die horizontale Scrollmenge des Mausrads die Windows-Einstellung nicht berücksichtigt hatte. Darüber hinaus wurde eine fehlerhafte Skalierung der Systemschriftart unter Windows 7 korrigiert.

Eine komplette Über sicht der Änderungen und Neuerungen in Notepad++ 8.8.9 bieten die ausführlichen Release Notes.

Ab sofort verfügbar

Das korrigierte Notepad++ 8.8.9 steht ab sofort auf der Website des Entwicklers zum Download bereit. Alternativ kann die neue Version auch wie gewohnt über den Link am Ende der Meldung bequem aus dem Download-Bereich von ComputerBase geladen werden.