Notepad++, yeni sürüm 8.9.6'da yükleyicideki bir güvenlik açığını kapatıyor. Risk değerlendirmesi henüz net değildir ve listelenmiş bir CVE girişi henüz yayınlanmamıştır.
Reklamdan sonra devamını okuyun
Sürüm duyurusunda Notepad++ geliştiricisi Don Ho, güvenlik açığının Notepad++'ın 8.9.4 ve 8.9.5 sürümlerini etkilediğini ancak yükleyiciyle ilgili bazı gerilemelerin ikinci sürümde zaten düzeltildiğini yazıyor. Bu, henüz yayınlanmamış olan CVE-2026-46710 CVE girişindeki güvenlik açığıdır. Federal Bilgi Güvenliği Dairesi'nin (BSI) CERT-Bund'u, CVSS'ye göre ciddiyet seviyesinin 7.3 bir risk olarak elde edildi “yüksek“gizlidir.
Eski programcı doktrinine göre kod şu anda dokümantasyondur. Ho, güvenlik açığıyla ilgili taahhütte, dosya yolunun artık sabit kod yerine kayıt defterinden alındığını yazıyor. Bu, daha önce herhangi bir yol olmadan çağrılan “powershell” çağrısını ifade eder. Bu, en azından bir saldırganın Windows arama yoluna “powershell.exe” adlı kötü amaçlı bir dosya yerleştirmiş olabileceğini ve bu dosyanın kurulum veya güncelleme başladığında çalıştırılabileceğini gösteriyor.
Güncellemeyi manuel olarak uygula
Güncellenmiş sürüm Notepad++ indirme web sitesinde bulunabilir. Çağrıldığında dahili güncelleme mekanizması, v8.9.5'ten sonra genel olarak kullanılabilir bir güncelleme olmadığını bildirir. Windows komut isteminde “winget yükseltme –all” çağrılsa bile, güçlü metin aracının güncellenmiş sürümü henüz sürücüye aktarılmaz. Yani artık kendinizi korumak istiyorsanız bunu kendiniz yapmanız ve güncellemeyi indirip yüklemeniz gerekiyor.
Geçen yılın sonunda Notepad++'ın güncelleme mekanizmasındaki bir güvenlik açığı devlet aktörleri tarafından kötüye kullanıldı. Bunu kurbanların bilgisayarlarına kötü amaçlı yazılım dağıtmak için kullandılar.
Ayrıca bakınız:
Reklamdan sonra devamını okuyun
- Notepad++: Haber'den hızlı ve güvenli bir şekilde indirin
(dmk)
Bir yanıt yazın