Добавить в корзинуПозвонить
Найти в Дзене
DigiNews
1830 подписчиков

Notepad++ заявляет о внедрении «практически неуязвимого» процесса обновлений для локальных систем

2 мин
Notepad++ укрепил безопасность своего процесса обновлений, сделав его «фактически неэксплуатируемым». Новые меры защиты включают проверку подписанных XML и установщиков, устраняя уязвимости, использованные в прошлой атаке. Злоумышленникам придется искать другой путь для своих вредоносных махинаций. — theregister.com Notepad++ продолжает укреплять безопасность выпуском, который, по словам автора проекта, делает «процесс обновления надежным и фактически неэксплуатируемым». Версия 8.9.2 добавляет проверку подписанного XML, возвращаемого notepad-plus-plus.org. В сочетании с проверкой подписанного установщика, введенной в версии 8.8.9, процесс обновления теперь проверяет как инструкции, так и полезную нагрузку — основу для заявления о «неэксплуатируемости». По словам автора проекта, спонсируемый государством киберпреступник скомпрометировал службу обновлений редактора. Исследователи безопасности приписали атаку шпионской группе Lotus Blossom, связанной с правительством Китая. В результате в

Notepad++ укрепил безопасность своего процесса обновлений, сделав его «фактически неэксплуатируемым». Новые меры защиты включают проверку подписанных XML и установщиков, устраняя уязвимости, использованные в прошлой атаке. Злоумышленникам придется искать другой путь для своих вредоносных махинаций. — theregister.com

Notepad++ продолжает укреплять безопасность выпуском, который, по словам автора проекта, делает «процесс обновления надежным и фактически неэксплуатируемым».

Версия 8.9.2 добавляет проверку подписанного XML, возвращаемого notepad-plus-plus.org. В сочетании с проверкой подписанного установщика, введенной в версии 8.8.9, процесс обновления теперь проверяет как инструкции, так и полезную нагрузку — основу для заявления о «неэксплуатируемости».

По словам автора проекта, спонсируемый государством киберпреступник скомпрометировал службу обновлений редактора. Исследователи безопасности приписали атаку шпионской группе Lotus Blossom, связанной с правительством Китая. В результате взлома часть трафика обновлений была выборочно перенаправлена на контролируемый злоумышленником сайт, который под видом легитимного обновления распространял вредоносное ПО среди жертв.

9 декабря 2025 года была выпущена «укрепленная» версия редактора, а 27 декабря — версия, отказавшаяся от использования самоподписанного сертификата. С похвальной прозрачностью автор проекта после выпуска этих версий опубликовал пост с объяснением произошедшего, заявив, что предстоящая версия 8.9.2 будет принудительно проверять сертификат и подпись. Менее чем через месяц мы здесь.

Автор также отметил дополнительное усиление автообновщика WinGUp. Зависимость libcurl.dll была удалена «для устранения риска боковой загрузки DLL», выполнение управления плагинами было ограничено программой, подписанной тем же сертификатом, что и WinGUp, а два незащищенных SSL-параметра cURL, CURLSSLOPT_ALLOW_BEAST и CURLSSLOPT_NO_REVOKE, были удалены.

Автор добавил: «Конечно, всегда можно исключить автообновщик во время установки через пользовательский интерфейс или развернуть MSI-пакет, используя следующую команду: msiexec /i npp.8.9.2.Installer.x64.msi NOUPDATER=1».

Таким образом, обновление до последней версии представляется разумным.

Дизайн «Двойной замок» призван сделать процесс обновления Notepad++ более надежным, хотя заявление «фактически неэксплуатируемый» выглядит несколько как вызов, брошенный негодяям. ®

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

Автор – Richard Speed

Оригинал статьи

Гаджеты и электроника
5,73 млн интересуются