知名开源文本编辑器Notepad++发布紧急更新版本8.8.9,旨在修复其内置更新器中的一个严重安全漏洞。此前,该漏洞曾被攻击者利用,在用户执行更新时秘密安装恶意软件。

漏洞详情:更新过程遭“中间人”劫持

根据德国科技媒体Heise的报道,攻击者通过劫持Notepad++更新器的网络请求实施攻击。具体过程如下:

  1. 请求拦截:当用户启动更新时,内置的gup.exe程序会向https://notepad-plus-plus.org/update/getDownloadUrl.php 发送请求,以获取新版本的下载地址。
  2. 响应篡改:攻击者在网络层面拦截此请求,并将返回的XML文件中的下载链接替换为指向恶意软件的地址。
  3. 恶意执行gup.exe随后会从被篡改的地址下载一个恶意可执行文件(通常保存于%TEMP%目录),并自动运行它。

安全专家指出,在此次修复前,Notepad++更新器使用的安全验证机制存在缺陷。在8.8.7版本之前,更新器使用的是自签名证书,这使得伪造和中间人攻击相对容易。

官方修复:双重加固更新安全

Notepad++开发作者迅速采取行动,通过连续两个版本更新来解决此问题:

  • v8.8.8版本:强制所有更新下载源指向官方的github.com域名,以规避不可信的下载路径。
  • v8.8.9版本(关键修复)‍:于2023年10月8日发布,引入了完整的证书和签名验证机制。现在,更新器会在安装前严格校验下载文件的数字签名和证书链。如果验证失败,更新过程将立即中止,从而有效阻止恶意软件的植入。

开发者在发布说明中强调,新版本包含了“新的安全增强功能、特性、回归问题修复及错误修复”,其中安全修复是重中之重。用户可以通过项目的GitHub发布页面下载新版安装包或便携版,所有文件均附有SHA-256校验和以供验证。

用户应对建议

对于仍在使用旧版本Notepad++的用户,安全专家提出以下紧急建议:

  1. 立即手动更新:应尽快访问官方网站或GitHub仓库,手动下载并安装至少v8.8.8版本,强烈推荐升级至最新的v8.8.9版本。
  2. 警惕系统异常:留意系统中是否出现由gup.exe发起的、连接到非官方域名(如非notepad-plus-plus.orggithub.com等)的网络连接。同时检查%TEMP%目录下是否有可疑的update.exeAutoUpdater.exe文件在运行。
  3. 关注安全警告:如果在更新过程中看到“未知发布者”的安全警告,应将其视为可能已遭受攻击的迹象,并立即停止更新操作。

官方公告:https://notepad-plus-plus.org/news/v889-released/

消息来源:https://www.heise.de/en/news/Notepad-updater-installed-malware-11109726.html