CVE-2026-3008 として追跡されている新しい文字列インジェクション脆弱性が、Notepad++ バージョン 8.9.3 で発見されました。
この重大な欠陥により、攻撃者がアプリケーションをクラッシュさせたり、機密メモリ情報を秘密裏に抽出したりすることができます。
シンガポール サイバーセキュリティ庁(CSA)は、潜在的なエクスプロイトに対してシステムを保護するために、すべてのユーザーにバージョン 8.9.4 へ直ちにアップグレードするよう促す緊急勧告を発表しました。
文字列インジェクション欠陥について
この脆弱性の根本原因は、Notepad++ がその言語とローカライズ設定ファイルをどのように処理するかにあります。
ユーザーが人気のある「ファイル内検索」機能を使用する場合、アプリケーションは nativeLang.xml ファイルの find-result-hits パラメータ内に位置するテキスト入力を安全に検証できません。
このプログラミングの見落としは、典型的なフォーマット文字列インジェクション脆弱性を引き起こします。
攻撃者が特定のフォーマット文字列ペイロードを含む悪意のある nativeLang.xml ファイルを導入した場合、アプリケーションの動作を直接操作することができます。
単純な %s ペイロードを挿入すると、テキストエディタがクラッシュし、ローカライズされたサービス拒否(DoS)状態が発生します。
別の方法として、攻撃者が %x または %08lx などのペイロードを埋め込む場合、Notepad++ は無意識のうちに内部 CPU レジスタとスタック メモリ値をリークします。
これらの隠されたメモリ アドレスを公開すると、脅威者にアドレス空間レイアウトランダミゼーション(ASLR)などのオペレーティング システムのセキュリティ防御をバイパスするために必要なデータが与えられます。
Notepad++ は世界中の開発者と IT プロフェッショナルによって広く使用されており、この脆弱性は企業のセキュリティにとって大きな懸念事項となっています。
セキュリティの問題は、サイバーセキュリティ研究者ハズリー・サムスディンによってシンガポール国立 CERT を通じて責任を持って特定され、報告されました。
この欠陥を正常に悪用するには、ハッカーが被害者に既存の nativeLang.xml ファイルを破損したバージョンに置き換えるようだまし取る必要があります。
この設定ファイルは通常、ユーザーのローカル AppData フォルダまたはポータブル インストールのルート ディレクトリ内に保存されます。
毒されたファイルが配置されると、被害者が「現在のドキュメントからすべて検索」ツールを使用してテキストを検索した時点で、ペイロードが自動的に起動します。
Notepad++ の開発者は、アプリケーションが検索中に文字列値をどのように解析するかを修正することで、この脆弱性を迅速に解決しました。ユーザーは環境を保護するため、次の手順を実行する必要があります:
- ソフトウェアを直ちに更新してください: CVE-2026-3008 に完全にパッチを当て、安全な検索機能を復元する Notepad++ バージョン 8.9.4 をダウンロードしてインストールしてください。
- 設定ファイルをセキュアにしてください: 未検証または信頼されていないサードパーティ ソースからカスタム XML 言語パックまたはインターフェイス修正をダウンロードすることを避けてください。
- エンタープライズ ロールアウト: Notepad++ の広範な展開を管理する IT チームは、すべての企業エンドポイントへバージョン 8.9.4 の展開を優先すべきです。
このセキュリティ アップデートを迅速に適用することで、組織は開発環境が安定したままであり、不正なメモリ公開から保護されていることを確認できます。
翻訳元: https://gbhackers.com/notepad-vulnerability-lets-attackers-crash-app/
