Windows向けの広く使われているオープンソーステキストおよびコードエディタであるNotepad++が、バージョン8.9.3をリリースしました。これは追跡中のcURL脆弱性にパッチを当て、複数のクラッシュ回帰を解決し、アプリケーションのXMLパーサエンジンの大規模な内部インフラ改革を完了する重要なアップデートです。
v8.9.3の最も重要な修正は、CVE-2025-14819に対処するため、Notepad++の自動アップデータコンポーネント「WinGUp」内のcURLをv8.19.0に更新することです。
この脆弱性はCWE-295(不適切な証明書検証)に分類され、libcurlバージョン7.87.0~8.17.0に存在し、CVSS 3.1ベーススコアは5.3(中程度)です。
このフローはTLS関連の転送中に、再利用されたeasyハンドルまたは複数のハンドルが転送間でCURLSSLOPT_NO_PARTIALCHAINオプションを変更するときに発生します。
この状況下では、libcurlは意図せずにメモリにキャッシュされたCA認証局ストアを再利用する可能性があり、部分チェーン検証設定が逆転され、ライブラリは通常は拒否する部分的なSSL/TLS証明書信頼チェーンを受け入れるようになります。
これはアップデートメカニズムへのman-in-the-middle(MitM)攻撃への道を開きます。Notepad++のWinGUpアップデータは以前、影響を受けたレンジ内にあるlibcurlバージョン7.87.0をバンドルしていました。
この修正はコンポーネントをcURL v8.19.0にアップグレードし、脆弱性ウィンドウを完全に閉じます。
このパッチは、Notepad++の最近のセキュリティ履歴を考えると特に重要です。2025年後半、中国系の脅威アクター「Lotus Panda」として追跡されている組織がアプリケーションのホスティングインフラを侵害し、2025年6月から12月にかけてWinGUpアップデートチャネルを乗っ取り、選ばれたターゲットに対して以前未知のバックドア「Chrysalis」を配信しました。
そのサプライチェーン事件はCVE-2025-15556(CVSS 7.7)として追跡され、アップデートパイプラインのあらゆるレイヤーを保護することの重要性を強調しました。
このリリースにはまた、基盤となるパフォーマンス改善もあります。Notepad++の内部XMLパーサが、複数の以前のバージョンで段階的にロールアウトされた後、TinyXMLからpugiXMLへの完全な移行が完了しました。
新しいpugixml 1.15エンジンはより軽量で高速であり、Notepad++が設定ファイルを読み書きする速度を直接改善します。
カスタマイズが多い環境または多くのインストール済みプラグインを持つユーザーは、起動時間が高速になり、設定管理がより反応的になることに気付くでしょう。
この移行プロセス中に導入されたすべての回帰もこのリリースで解決されました。
このリリースはまた、Scintillaを5.6.0に、Lexillaを5.4.7に更新し、非標準インストール向けのテーマ書き込みパスを改善し、アップデート後の自動補完中にファイルを上書きする可能性があるバグを修正し、ポータブルパッケージインストールの更新時にXML設定ファイルが上書きされるのを防止します。
Lotus Pandaサプライチェーン攻撃の確認を含むNotepad++を取り巻くアクティブな脅威環境を考えると、すべてのユーザーとセキュリティプロフェッショナルはv8.9.3に直ちに更新することを強く勧告されます。
アップデートは公式Notepad++ダウンロードページから直接利用できます。完全なリリースノート、バグ報告、およびコミュニティディスカッションは公式Notepad++コミュニティフォーラムで利用できます。
翻訳元: https://cyberpress.org/notepad-v8-9-3-update/