Notepad++ v8.9.7セキュリティアップデート、スタックバッファオーバーフローやZip Slipの欠陥など5件の脆弱性を修正

Notepad++は、コードネーム「Slava Ukraini」となるバージョン8.9.7をリリースしました。このアップデートでは、セッションファイル処理、環境変数展開、ZIP展開、マクロ検証、Windowsインストールプロセスに関連する5件のセキュリティ脆弱性が修正されています

Securityaudit services

リリース日は2026年7月14日で、CVEが割り当てられた脆弱性3件に加え、まだCVE識別子が付与されていないGitHubセキュリティアドバイザリ2件が含まれています。

これらの脆弱性は、Notepad++の使用方法や、攻撃者が悪意あるセッションファイル、アーカイブ、設定ファイル、インストーラー関連の入力を提供できるかどうかによって、ユーザーにさまざまなリスクをもたらす可能性があります。ユーザーおよび組織は、特に信頼できないファイルや共有のNotepad++設定を扱う環境において、バージョン8.9.7へのアップデートが求められます。

Notepad++ v8.9.7セキュリティアップデート

  • CVE-2026-52886 – session.xmlのbackupFilePathにおけるstarts_with回避の脆弱性、GHSA-rqfm-pw34-r7j6として追跡
  • CVE-2026-54758 – expandNppEnvironmentStrsにおけるスタックバッファオーバーフロー、GHSA-gv94-327x-2gc5として追跡
  • CVE-2026-57233 – Zip Slipパストラバーサル脆弱性、GHSA-hjxw-84rf-wg5rとして追跡
  • CVE未割り当て – shortcuts.xmlマクロHMAC回避の脆弱性、GHSA-f4rj-vqq4-wvg4として追跡
  • CVE未割り当て – インストール時のPowerShellコマンドインジェクション脆弱性、GHSA-gp2r-262h-9hgfとして追跡

CVE-2026-54758は、expandNppEnvironmentStrs関数におけるスタックバッファオーバーフローです。この脆弱性は、入力データがスタック上のメモリバッファに割り当てられた容量を超えた場合に発生し、アプリケーションのクラッシュ、メモリ破損、さらには特定の条件下では任意コード実行につながる可能性があります。

実際の影響度は、攻撃者が脆弱な環境変数展開処理にどれだけ容易にアクセスできるかによって左右されます。

CVE-2026-57233は、Zip Slip脆弱性に対応するものです。これはアーカイブ展開処理の弱点で、巧妙に細工されたZIPファイルによって、想定された展開先ディレクトリの外にファイルを書き込めてしまうというものです。攻撃者は通常、アーカイブ内のエントリ名に「../」のようなトラバーサルシーケンスを埋め込むことで、こうした欠陥を悪用します。

検証処理が不十分な場合、悪意あるアーカイブによって、現在のユーザーがアクセス可能な他の場所にあるファイル(アプリケーションの設定パスや起動関連ディレクトリを含む)が上書きされる恐れがあります。

今回のアップデートでは、session.xmlのbackupFilePath設定における検証を回避できるCVE-2026-52886も修正されています。

この脆弱性は、starts_withによるパス検証に関するもので、あるパスが承認済みディレクトリで始まっているように見えても、正規化やトラバーサル処理の後に別の場所へ解決されてしまう場合、安全ではなくなる可能性があります。攻撃者は、悪意あるセッションファイルを悪用して、意図されたパス制限を回避できる恐れがあります。

Notepad++ 8.9.7では、さらにshortcuts.xmlに影響するマクロHMAC回避の問題も修正されています。HMAC検証は、保護されたマクロ関連データの整合性を保証するはずのものですが、この検証を回避されると、改ざんされたマクロ定義が正規のものとして受け入れられてしまう可能性があります。

マクロはエディタ内での操作を自動化できるため、Notepad++の設定を共有またはインポートするユーザーにとって、設定ファイルの整合性を維持することは極めて重要です。

5つ目の問題は、インストール時のPowerShellコマンドインジェクション脆弱性に関するものです。これは、インストーラーが制御するデータや外部から供給されたデータが、適切な引数処理・エスケープ・検証を経ずにPowerShellへ渡された場合に発生する可能性があります。

この脆弱性が悪用に成功すると、インストールを実行しているユーザーの権限下で、意図しないPowerShellコマンドが実行されてしまう恐れがあります。そのため、検証済みのインストーラーをダウンロードし、速やかにパッチを適用することが特に重要になります。

今回のセキュリティパッチに加え、Notepad++ 8.9.7ではいくつかの使い勝手向上も導入されています。「Folder as Workspace」機能では、展開・折りたたみの状態がセッションをまたいで記憶されるようになりました。

Securityaudit services

また「Incremental Search」では、現在の一致箇所と一致件数の合計をユーザーが把握しやすいよう、「nth/count」情報が表示されるようになりました。今回のリリースには、その他のバグ修正や機能強化も含まれています。

ユーザーは、Notepad++を公式プロジェクトのチャネルからのみダウンロードし、既存のインストールをバージョン8.9.7にアップデートするとともに、心当たりのないアーカイブ、セッションファイル、ショートカット設定、インストーラーについては十分な注意を払う必要があります。

Notepad++プロジェクトは、リグレッションおよび重大なバグ報告用のスレッドを[Notepad++ Community](https://community.notepad-plus-plus.org/topic/27604/notepad-release-8.9.7)で公開しています。

復号化されたフィッシングページを可視化し、調査を迅速化、認証情報窃取によるコストを削減 -> ANY.RUNでSOCを強化

翻訳元: https://gbhackers.com/notepad-v8-9-7-security-update-fixes-5-vulnerabilities/

ソース: gbhackers.com