Der Entwickler von Notepad++ hat ein neues Update veröffentlicht. Darin werden drei Sicherheitslücken geschlossen, wovon zwei als hohes Risiko eingestuft sind. Angreifer haben darüber die Möglichkeit, etwa Befehle oder Schadcode einzuschmuggeln und auszuführen.

Der Entwickler Don Ho schreibt in der Release-Ankündigung zu Notepad++ v8.9.6.1, dass die neue Version die drei Schwachstellen ausbessert. Es gibt in der Konfigurationsdatei „config.xml“ keine Einschränkung für den Parameter „commandLineInterpreter“, sodass etwa Angreifer mit Nutzerrechten den Eintrag anpassen oder mittels bösartigem .lnk eigene Dateien starten lassen können (CVE-2026-48778, CVSS 7.8, Risiko „hoch“).

Eine weitere Sicherheitslücke befindet sich in der „shortcuts.xml“-Datei. Diese Datei führt aus, was immer dort eingetragen ist, nach dem Klick auf den entsprechenden Eintrag unter „Ausführen“ im Notepad++-Menü (CVE-2026-48800, CVSS 7.8, Risiko „hoch“).

Die dritte Lücke erlaubt ein Denial-of-Service (CVE-2026-48770, CVSS 5.0, Risiko „mittel“).

Die neue Version v8.9.6.1 steht auf der Download-Seite des Notepad++-Projekts in verschiedenen Formaten zum Herunterladen bereit. Aktuell muss die neue Version über die bereits vorhandene Version drüberinstalliert werden, da das Update für den integrierten Update-Mechanismus noch nicht freigegeben ist.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE