Notepad++の開発チームはバージョン8.9.7をリリースし、5件のセキュリティ脆弱性に対処しました。内容はスタックバッファオーバーフローから、内蔵アップデーターや設定ファイルにおけるパストラバーサルの欠陥まで多岐にわたります。
開発者やITシステム管理者を含む数百万人のWindowsユーザーが利用するこの広く普及したオープンソーステキストエディタでは、今回のパッチによってローカル権限昇格やセキュリティ制御の回避、さらにはアップデート時のリモートコード実行につながる可能性のある問題が修正されました。
最も深刻な問題はCVE-2026-54758として追跡されており、expandNppEnvironmentStrs関数におけるスタックバッファオーバーフローに関するものです。
この脆弱性は、アプリケーションが処理前に境界チェックを行わない細工された環境文字列を送り込むことで、メモリを破損させ任意のコードを実行される可能性があります。
さらに2件の脆弱性が設定ファイルの処理に影響を及ぼします。CVE-2026-52886は、session.xml内のbackupFilePathフィールドにおけるstarts_withチェックを操作することで、パス検証を回避できるというもので、意図したディレクトリの外にあるファイルの書き込みや読み取りが可能になる恐れがあります。
これに関連する脆弱性として、現時点でCVE番号が未割り当てのものがあり、shortcuts.xmlにおけるHMACバイパスに関するものです。これにより攻撃者は検知されることなくマクロ定義を改ざんできる可能性があり、悪意あるマクロの注入を防ぐために設けられていた整合性検証の仕組みが無力化されてしまいます。
企業環境にとっておそらく最も懸念すべきなのは、Notepad++の自動アップデーターコンポーネントであるWinGUpに存在するZip Slip(パストラバーサル)脆弱性、CVE-2026-57233です。
Zip Slipの脆弱性は、アーカイブ展開時にエントリのパス検証が不十分であることを悪用するもので、悪意あるZIPファイルによって、本来意図された展開先ディレクトリの外にあるファイルシステム上の任意の場所へ書き込みが可能になります。
攻撃者がアップデートパッケージを傍受またはなりすませる状況であれば、この脆弱性によってアップデータープロセスの権限でコードを実行される可能性があります。
今回の一連の脆弱性開示の締めくくりとして、CVE番号が未割り当てのもう1件の脆弱性は、Notepad++インストーラーにおけるPowerShellコマンドインジェクションの脆弱性に対処するものです。インストール時のスクリプト処理において入力のサニタイズが不十分なため、注入されたコマンドがインストーラーの権限で実行される恐れがあります。
セキュリティ修正に加えて、v8.9.7ではFolder as Workspaceセッションにおける展開・折りたたみ状態が再起動をまたいで保持されるようになったほか、「n件目/全件数」の一致件数表示を備えた強化版インクリメンタル検索など、使い勝手を向上させる機能も導入されています。
また今回のリリースでは、長年指摘されていた「Find in Files」の応答停止バグも解消されたほか、相対ファイルパスの処理に影響するリグレッションの修正、Folder as Workspaceにおけるディレクトリのシンボリックリンクに起因するフリーズへの対処も行われました。
内部的には、今回のアップデートでScintillaが5.6.4に、Lexillaが5.5.1に、pugixmlがv1.16にそれぞれ更新されています。Notepad++の自動アップデーターは、リグレッションが見つからなければ2週間以内にこのリリースを自動的にユーザーへ配信する予定です。
今回修正された5件の脆弱性のうち2件がアップデート機構そのものに直接関わるものであることを踏まえると、Notepad++を展開しているセキュリティチームやITシステム管理者は、特にこのエディタが昇格した権限で動作していたり、機密性の高い設定ファイルを扱っていたりする環境では、自動配信よりも手動アップデートを優先すべきといえるでしょう。
SOCに、自信を持って行動するための情報力を。
ANY.RUNの脅威インテリジェンスフィードで、ノイズを減らし運用効率を高めましょう。
翻訳元: https://cyberpress.org/notepad-security-update-patches/