开源文本编辑器 Notepad++ 接连发布了 v8.8.8/v8.8.9 更新,修复了更新组件 WinGUp 在对下载文件签名和证书校验不够严格的问题。
上月,Notepad++ 爆出了安全漏洞:在安装了 Notepad++ 的机器上,黑客劫持网络后,利用自动更新机制,自动下载被投毒的恶意可执行文件。
Notepad++ 两次安全更新
这件事应该有1个多月了。用户只需要更新至最新的 v8.8.9 即可解决问题。
- v8.8.8 :修改下载源和 URL 域名,降低被劫持和滥用的可能性。
- v8.8.9 :在下载结果上加验签和证书校验,就算路径被劫持了,也能阻止恶意安装包被执行。
Notepad++ v8.8.8
2025年11月18日,Notepad++ 发布了 v8.8.8 版本,开发者说:「过去两周,我与一些安全专家进行了沟通,发现 WinGUp(Notepad++ 使用的自动更新程序)存在潜在的劫持漏洞。该问题已在最新版本中得到解决。」
Notepad++ 8.8.8 release
Announcements 23贴文 12 posters 6.8k 浏覽
donho
Notepad++ release 8.8.8 is available: https://notepad-plus-plus.org/news/v888-released
Notepad++ v8.8.8 new features, regression fixes & bug-fixes:
- Add Notepad++ MSl (x64) for enterprise IT deployment. (Fix #2326 , #2368 , #16767 )
- Security enhancement: prevent Notepad++ Updater from being hijacked. (Implement #17116 , commit ) 安全增强:防止 Notepad++更新程序被劫持。(实施#17116)
- Fix multi-selection crash (regression) when smart highlighting is enabled. (Fix #17086 , #17126)
- Add tab label length limitation option to have reasonable tab width. (Fix #3332 , #5563 , #12563 , #16417 )
Notepad++ v8.8.9
到底发生了什么?
在本月初,Beaumont 发布了一篇《少数 Notepad++ 用户报告安全问题 》,介绍了一个有趣的事情。
他说他收到了3封来信,他们在安装了 Notepad++ 的机器上发生了安全事件,怀疑是 Notepad++ 进程产生的初始访问,并且导致后面的中毒事件。
而在上面提到的 v8.8.8 版本更新中,只修复了一半这个问题。
出问题的 WinGUP 是什么?
WinGUP 是 Notepad++ 开发者为了自动更新自身,专门写的自动更新程序。是的,他俩是同个开发者。
WinGUP 会读取 xml 配置文件以获取程序的当前版本和 WinGUp 获取更新信息的 URL,检查该 URL(使用给定的当前版本)以获取更新包位置,下载更新包,然后运行相关的更新包(它应该是 msi 或 exe 文件)。
原理大概是这样的:
而此前,由于 WinGUP不验证 HTTPS 服务器证书和 MSI/EXE 安装包签名,黑客拦截了流量,并修改了其中的 URL 地址,于是用户电脑自动下载到了恶意软件,并安装。
从 v8.8.8 起,WinGUP 会强制从 github.com 下载,而 v8.8.9 起,增加严格的证书和签名校验,从而保证下载安装包的完整性。
所以,v8.8.9 修复了另一半的问题。
最后的建议
由于 Notepad++ 拥有大量用户,经常会成为恶意攻击者的目标,如果你使用 Notepad++,建议升级到最新版本。
官方 GitHub:https://github.com/notepad-plus-plus/notepad-plus-plus
转载原文:https://www.appinn.com/notepad-plus-plus-v8-8-9/