Notepad++は、セキュリティ強化を続けており、プロジェクトの開発者は、アップデートプロセスを「堅牢で事実上、悪用不可能」にするリリースを発表しました。
バージョン8.9.2は、notepad-plus-plus.orgから返される署名付きXMLの検証を追加しています。バージョン8.8.9で導入されたインストーラーの署名検証と組み合わせることで、アップデートプロセスは指示とペイロードの両方を検証するようになり、「悪用不可能」という主張の根拠となっています。
プロジェクト開発者によると、国家支援のサイバー犯罪者がエディタのアップデートサービスを侵害しました。セキュリティ研究者は、この攻撃をLotus Blossomという中国政府系のスパイ集団に属するものと判断しました。このハッキングにより、一部のアップデートトラフィックが攻撃者制御のサイトにリダイレクトされ、正当なアップデートに偽装したマルウェアが被害者に提供されていました。
エディタの「強化版」は2025年12月9日にリリースされ、その後12月27日に自己署名証明書の使用を廃止したバージョンがリリースされました。透明性を持った対応として、プロジェクト開発者は、発生した事態の説明と、今後のバージョン8.9.2で証明書と署名の検証を強制することを述べる投稿を公開しました。1ヶ月も経たないうちに、ここにいたります。
開発者は、自動アップデーター「WinGUp」の追加の強化についても指摘しています。libcurl.dll依存関係は「DLLサイドローディングのリスクを排除する」ため削除され、プラグイン管理の実行はWinGUpと同じ証明書で署名されたプログラムに制限され、2つの保護されていないcURLのSSLオプション、CURLOPT_ALLOW_BEASTとCURLOPT_NO_REVOKEが削除されました。
開発者は次のように述べています:「もちろん、UI インストール時に自動アップデーターを除外することもできます。または、次のコマンドを使用して MSI パッケージをデプロイすることもできます:msiexec /i npp.8.9.2.Installer.x64.msi NOUPDATER=1」
最新バージョンへのアップデートは、したがって賢明に見えるでしょう。
「ダブルロック」設計は、Notepad++アップデートプロセスをより堅牢にすることを意図しており、「事実上、悪用不可能」という声明は、悪人たちの足下に投げ出された手袋のような感じがします。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/02/18/notepadplusplus_security_update/
