
Die Schließung kritischer Lücken in Notepad++ gibt einem Kollegen aus der IT-Sicherheit einen klaren Überblick über aktuelle Angriffsvektoren.

Notepad++ schließt kritische Sicherheitslücken Handlungsfluss und Kernfakten
Notepad++ hat in der Version 8.9.6.1 drei Sicherheitslücken geschlossen, von denen zwei als hoch eingestuft sind. Die betroffenen Komponenten betreffen Konfigurationsdateien, die bei bestimmten Nutzeraktionen zur Ausführung von Schadcode missbraucht werden konnten. Die Lücke CVE-2026-48778 betrifft den Parameter „commandLineInterpreter“ in der config.xml, der keine Einschränkungen aufwies und so Angreifern mit lokalem Zugriff erlaubte, beliebige Befehlszeileninterpreter festzulegen. Die zweite kritische Lücke, CVE-2026-48800, liegt im <Command>-Tag der shortcuts.xml und ermöglichte die Ausführung beliebiger Befehle über das Menü „Ausführen“. Die dritte Lücke (CVE-2026-48770) erlaubt es lokalen Prozessen, Notepad++ über präparierte WM_COPYDATA-Nachrichten zum Absturz zu bringen.
Die neue Version ist auf der offiziellen Download-Seite in mehreren Formaten verfügbar. Aktuell müssen Nutzer die Aktualisierung manuell vornehmen, da der integrierte Update-Mechanismus von Notepad++ v8.9.5 die neuen Versionen noch nicht erkennt. Entwickler Don Ho hat die Freigabe über diesen Kanal noch nicht vorgenommen. Zuvor hatte er bereits eine Sicherheitslücke im Installer mit Version 8.9.6 behoben.
Diese Entwicklungen unterstreichen die Bedeutung regelmäßiger manueller Updates bei sicherheitskritischer Software, insbesondere wenn automatische Mechanismen zeitweise nicht funktionieren. Die betroffenen Lücken erfordern zwar Nutzerinteraktion, stellen aber bei gezielten Angriffen ein erhebliches Risiko dar. Bisher gibt es keine Hinweise auf aktive Ausnutzung im Feld.
Fakten
- Notepad++ veröffentlichte Version 8.9.6.1, um drei Sicherheitslücken zu schließen.
- Zwei Lücken (CVE-2026-48778 und CVE-2026-48800) gelten als hochgradig riskant mit einem CVSS-Score von jeweils 7.8.
- Über die Lücken konnte bei bestimmter Nutzerinteraktion Schadcode ausgeführt werden.
- Die dritte Lücke (CVE-2026-48770, CVSS 5.0) ermöglichte einen Denial-of-Service durch lokalen Absturz.
- Die Aktualisierung muss aktuell manuell erfolgen, da der integrierte Updater nicht funktioniert.
- Entwickler Don Ho hatte bereits zuvor eine Sicherheitslücke im Installer mit v8.9.6 behoben.
Visuelle Nachrichtenerklärung von Canto. KI-Werkzeuge können die Produktion unterstützen. Redaktionelle Richtlinien





