文章总结： Notepad++修复了其更新程序中的一个漏洞，该漏洞允许攻击者利用早期版本中更新文件的身份验证不当来劫持更新流量。漏洞存在于GUP/WinGUP更新程序中，攻击者可拦截并篡改gup.xml文件。新版本8.8.8通过强制更新仅从GitHub下载来修复问题，用户应检查gup.exe连接异常域、生成异常进程或存在可疑文件等攻击迹象。 综合评分： 88 文章分类： 漏洞分析,漏洞预警,软件安全,应用安全,安全建设

Notepad++ 修复一个漏洞，该漏洞允许攻击者劫持更新程序

会杀毒的单反狗

军哥网络安全读报

2025年12月15日 09:40 湖北

导读

Notepad++ 修复了其更新程序中的一个漏洞，该漏洞允许攻击者利用早期版本中更新文件的身份验证不当来劫持更新流量。

知名安全研究员凯文·博蒙特(Kevin Beaumont)率先报道了多位Notepad++用户遭遇安全事件。这位专家推测，攻击者利用了Notepad++中的一个漏洞。

博蒙特写道： “我已经从三个机构了解到，他们的服务器上安装了 Notepad++，并发生了安全事件。看起来 Notepad++ 进程是造成初始访问的源头。这些事件导致攻击者能够直接操作键盘。”

11月中旬，Notepad++发布了一项更新，以加强其GUP/WinGUP更新程序的安全性，此前该公司发现该程序可能被劫持。

GUP会连接到Notepad++的URL，获取包含更新下载链接的gup.xml文件，并将其保存到%TEMP%目录下，然后执行该文件。如果攻击者拦截了此流量（此前使用HTTP协议，现在使用HTTPS协议，但ISP层面仍然可以拦截），他们就可以篡改其中的字段，从而投放恶意文件。

博蒙特解释说，虽然下载文件都经过签名，但旧版本的 Notepad++ 使用的是 GitHub 上公开的自签名根证书，这削弱了验证的有效性。由于访问 notepad-plus-plus.org 的流量很少，因此对于资源充足的攻击者来说，通过 ISP 进行重定向是可行的。

Notepad++ 8.8.8 通过强制更新仅从 GitHub 下载来修复更新程序问题，使拦截变得更加困难。

攻击迹象包括：

gup.exe正在连接除notepad-plus-plus.org、github.com或release-assets.githubusercontent.com之外的域。

gup.exe生成了异常进程（它应该只启动explorer.exe和合法的、经过正确签名的 Notepad++ 安装程序）

%TEMP%目录下存在类似update.exe或AutoUpdater.exe的可疑文件

使用curl.exe调用temp.sh进行侦察

攻击者究竟是如何在实际环境中劫持更新程序流量的，目前仍不清楚。

博蒙特推测，攻击者可能在互联网服务提供商 (ISP) 层面拦截了流量，从而传播恶意更新，但这需要耗费大量资源。

Notepad++ 证实，其 WinGUp 更新程序有时会被重定向到恶意服务器，导致用户下载被篡改的可执行文件。

开发人员发现，更新程序在验证更新文件的真实性和完整性方面存在缺陷。如果攻击者拦截了更新程序和 Notepad++ 服务器之间的通信，他们就可以强制更新程序下载并运行恶意二进制文件，而不是合法的更新文件。

“对报告的审查发现，更新程序在验证下载的更新文件的完整性和真实性方面存在漏洞。” Notepad++发布的报告指出，“如果攻击者能够拦截更新程序客户端和Notepad++更新基础架构之间的网络流量，则可以利用此漏洞诱使更新程序下载并执行一个恶意二进制文件（而非合法的Notepad++更新二进制文件）。为了缓解此漏洞并解决安全研究人员提出的劫持问题，Notepad++的此版本引入了一项新的安全增强功能。”

凯文·博蒙特安全博客：

《Notepad++用户报告安全问题》

https://doublepulsar.com/small-numbers-of-notepad-users-reporting-security-woes-371d7a3fd2d9

Notepad++官方安全公告：

https://notepad-plus-plus.org/news/v889-released/

新闻链接：

Notepad++ fixed updater bugs that allowed malicious update hijacking

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

查看原文：《Notepad++ 修复一个漏洞，该漏洞允许攻击者劫持更新程序》