Notepad++で新たに発見された脆弱性により、世界中の開発者とIT専門家の間でセキュリティ上の懸念が高まっています。
CVE-2026-3008として追跡されているこの欠陥はNotepad++バージョン8.9.3に影響を与え、攻撃者がアプリケーションをクラッシュさせたり、機密性の高いメモリデータを抽出したりすることを可能にします。
この問題は、Notepad++が言語構成ファイル、特にnativeLang.xmlファイルを処理する方法に由来しています。
「ファイル内検索」または「現在のドキュメント内すべてを検索」機能の使用中に、アプリケーションはfind-result-hitsパラメータ内の入力を適切に検証しません。
これはフォーマット文字列インジェクション脆弱性につながり、アプリケーション動作を操作するために悪用される可能性のある良く知られたプログラミング欠陥です。
攻撃者が悪意を持って作成されたnativeLang.xmlファイルを提供する場合、次のようなフォーマット指定子を注入できます:
このメモリリークは、攻撃者がアドレス空間レイアウトランダミゼーション(ASLR)などのセキュリティ保護をバイパスするために使用する可能性のある重要な情報を明らかにする可能性があります。
この欠陥を悪用するために、攻撃者は被害者を騙して正当なnativeLang.xmlファイルを悪意のあるバージョンに置き換える必要があります。
このファイルは通常、ユーザーのAppDataディレクトリまたはポータブルインストール内のルートフォルダに保存されます。
悪意のあるファイルが配置されると、被害者がNotepad++内で検索操作を実行するときにエクスプロイトが自動的にトリガーされます。それ以上のユーザーインタラクションは必要ありません。
この脆弱性は、サイバーセキュリティ研究者Hazley Samsudinによってシンガポール国家CERT経由で責任を持って開示されました。
開発者、システム管理者、企業間でのNotepad++の広範な使用を考慮すると、この脆弱性は重大なリスクをもたらします。
メモリ開示の問題は、さらなる搾取および権限昇格攻撃を支援する可能性があるため、特に危険です。
Notepad++開発チームはバージョン8.9.4をリリースし、不適切な文字列処理の問題を修正しました。
ユーザーと組織は直ちに対応することを強く勧めます:
迅速なパッチ適用と設定ファイルの慎重な処理は、リスクを効果的に軽減し、潜在的な悪用からシステムを保護できます。
