广受欢迎的文本编辑器 **Notepad++** 已修复其更新机制中存在的一处高危安全漏洞,该漏洞可使攻击者劫持网络流量,并以合法更新为幌子,向用户推送恶意可执行文件。
安全研究人员近期监测到与WinGUp(Notepad++ 内置的更新程序)相关的可疑流量特征。
研究结果显示,在某些情况下,更新请求会被重定向至恶意服务器。更新程序不会获取正版 Notepad++ 安装包,反而会下载被篡改的二进制文件,由此形成一条静默投放恶意软件的通道。
开发团队通过对相关报告开展内部核查,最终发现漏洞根源在于WinGUp 验证下载更新文件完整性与真实性的方式存在缺陷。
在特定条件下,只要攻击者能够拦截或篡改 Notepad++ 更新客户端与官方更新服务器之间的网络流量,就可以利用该漏洞,将正版安装包替换为恶意二进制文件。
在这种攻击场景中,更新程序会被诱骗下载并执行恶意软件,整个过程在用户看来与常规的软件更新操作毫无二致。此类攻击属于典型的中间人攻击或流量劫持技术,常见于供应链攻击与更新通道入侵事件中。
最新版本中的安全增强措施
为修复该漏洞并回应研究人员提出的安全隐患,Notepad++ 最新版本在更新流程中新增了更为严格的校验机制。
目前,Notepad++ 与 WinGUp 均已完成安全加固,会在执行更新前,对下载的安装包进行数字签名与证书校验。
一旦签名或证书校验失败,更新流程会立即终止,从而阻止不可信代码的执行。Notepad++ 开发团队表示,针对攻击者具体劫持手段的调查仍在进行中,待攻击路径的确凿证据确认后,会第一时间向用户通报。
此外,从8.8.7 版本开始,所有 Notepad++ 二进制文件(包括安装程序)均采用由GlobalSign颁发的合法证书进行数字签名。
这一变更使得用户无需再安装 Notepad++ 自定义根证书。项目团队建议用户移除此前安装的 Notepad++ 根证书,以减少不必要的信任锚点。
此次发布的8.8.9 新版本除整合上述安全改进措施外,还修复了多项程序漏洞并添加了额外功能优化。开发团队强烈建议用户立即升级至最新版本,且仅通过Notepad++ 官方网站获取安装程序 —— 该网站提供了 8.8.9 版本的完整更新日志与下载链接。
发表评论
您还未登录,请先登录。
登录