Серьезная уязвимость (CVE-2025-49144) в программе установки Notepad++ может быть использована непривилегированными пользователями для получения привилегий уровня SYSTEM через небезопасные пути поиска исполняемых файлов.
В настоящее время нет никаких признаков того, что уязвимость используется злоумышленниками, хотя технические подробности и доказательство концепции (PoC) были опубликованы – и вскоре отредактированы по соображениям безопасности.
О CVE-2025-49144
Notepad++ – популярный бесплатный редактор текста и исходного кода с открытым исходным кодом для Windows.
CVE-2025-49144 – это дефект локального повышения привилегий, который затрагивает версии Notepad++ до версии 8.8.1 включительно и может позволить злоумышленникам скрытно запускать вредоносные исполняемые файлы на целевых системах.
Злоумышленник может использовать социальную инженерию или clickjacking, чтобы обманом заставить пользователей загрузить и легитимный установщик, и вредоносный исполняемый файл в один и тот же каталог (обычно папку Downloads – которая известна как каталог Vulnerable), объясняется в CVE-записи для дефекта.
Если запустить (уязвимый) установщик, он также загрузит исполняемый файл с привилегиями SYSTEM.
Уязвимость была обнаружена исследователями безопасности Шаши Раджем, Ятхартом Тяги и Куналом Чоудхари и в частном порядке раскрыта разработчику Notepad+++ Дону Хо.
Мы обнаружили эту уязвимость, когда возились с захватом DLL для повышения привилегий в Windows. Notepad не был специально выбран в качестве мишени – мы случайно обнаружили эту проблему, анализируя общие шаблоны установки приложений, рассказал Радж.
Фиксы, устраняющие уязвимость, уже сделаны, но стабильный релиз Notepad++ с исправлением еще не готов.
Что делать?
По словам Раджа, мы попросили временно отредактировать детали рекомендации, чтобы предотвратить использование уязвимости до широкого распространения патчей. Мы верим в скоординированное раскрытие информации, которое уравновешивает осведомленность общественности и безопасность. Информация об уязвимости будет восстановлена, как только исправленная версия получит достаточное распространение.
Разработчик Notepad++ Дон Хо объяснил, что задержка с выпуском Notepad 8.8.2 была вызвана заминкой с сертификатом подписи кода, и подтвердил, что она будет выпущена в течение недели.
Из-за невозможности обновить сертификат в данный момент, этот выпуск не будет подписан, добавил он. Однако, начиная с версии 7.6.6, подписи GPG всегда включались в состав двоичных файлов, выпускаемых Notepad++, и вы можете использовать Gpg4win или Kleopatra для проверки подлинности загруженных файлов.
В настоящее время для загрузки доступен релиз-кандидат.
Но учитывая популярность программы среди пользователей и распространителей вредоносного ПО, эта уязвимость может стать еще одним приятным дополнением к набору инструментов латтера.
Пользователям рекомендуется перейти на исправленную версию Notepad++, когда она будет выпущена. Будущим пользователям рекомендуется загружать программу только с официального сайта Notepad++, а также всегда проверять загружаемые файлы с открытым исходным кодом перед их запуском.