开源文本编辑器 Notepad++ 接连发布了 v8.8.8/v8.8.9 更新,修复了更新组件 WinGUp 在对下载文件签名和证书校验不够严格的问题。
上月,Notepad++ 爆出了安全漏洞:在安装了 Notepad++ 的机器上,黑客劫持网络后,利用自动更新机制,自动下载被投毒的恶意可执行文件。
Notepad++ 两次安全更新
这件事应该有1个多月了。用户只需要更新至最新的 v8.8.9 即可解决问题。
- v8.8.8:修改下载源和 URL 域名,降低被劫持和滥用的可能性。
- v8.8.9:在下载结果上加验签和证书校验,就算路径被劫持了,也能阻止恶意安装包被执行。
Notepad++ v8.8.8
2025年11月18日,Notepad++ 发布了 v8.8.8 版本,开发者说:「过去两周,我与一些安全专家进行了沟通,发现 WinGUp(Notepad++ 使用的自动更新程序)存在潜在的劫持漏洞。该问题已在最新版本中得到解决。」
Notepad++ v8.8.9
昨天(2025年12月10日),Notepad++ 发布了 v8.8.9 版本,再次更新漏洞:
到底发生了什么?
在本月初,Beaumont 发布了一篇《少数 Notepad++ 用户报告安全问题》,介绍了一个有趣的事情。
他说他收到了3封来信,他们在安装了 Notepad++ 的机器上发生了安全事件,怀疑是 Notepad++ 进程产生的初始访问。并且导致后面的中毒事件。
而在上面提到的 v8.8.8 版本更新中,只修复了一半这个问题。
出问题的 WinGUP 是什么?
WinGUP 是 Notepad++ 开发者为了自动更新自身,专门写的自动更新程序。是的,他俩是同个开发者。
WinGUP 会读取 xml 配置文件以获取程序的当前版本和 WinGUp 获取更新信息的 URL,检查该 URL(使用给定的当前版本)以获取更新包位置,下载更新包,然后运行相关的更新包(它应该是 msi 或 exe 文件)。
原理大概是这样的:
而此前,由于 WinGUP 不验证 HTTPS 服务器证书和 MSI/EXE 安装包签名,黑客拦截了流量,并修改了其中的 URL 地址,于是用户电脑自动下载到了恶意软件,并安装。
从 v8.8.8 起,WinGUP 会强制从 github.com 下载,而 v8.8.9 起,增加严格的证书和签名校验,从而避免下载安装包的完整性。
所以,v8.8.9 修复了另一半的问题。
最后的建议
由于Notepad++ 拥有大量用户,经常会成为恶意攻击者的目标,如果你使用 Notepad++,建议升级到最新版本。
这里是他的官方 GitHub:
如果你想寻找替代品,可以参考社区中的一些内容:
注意上面第二个帖子,年头有点久,但还在开放中,似乎大家并没有一个满意的替代品。
原文:https://www.appinn.com/notepad-plusplus-v8-8-9/
