FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

安全研究人员近日在开源文本及代码编辑器Notepad++中发现漏洞，攻击者可借此在特定地区劫持网络流量、污染更新过程，从而在受影响设备上安装恶意软件。该漏洞已在Notepad++ v8.8.9版本中完成修复。

仍在使用旧版本且曾尝试更新的用户应立即使用可靠的安全软件进行全面扫描，其系统可能已遭入侵，严重情况下系统重装可能是唯一可靠的解决方案。据开发者披露，Notepad++的更新工具WinGUp在某些情况下可能被重定向至恶意服务器，导致下载被篡改的可执行文件并感染系统。

漏洞技术细节

在更新过程中，WinGUp会检查版本号并查询：https://notepad-plus-plus.org/update/getDownloadUrl.php。该接口生成的XML文件包含下载URL，更新程序随后会从%TEMP%目录获取并执行该文件。任何能够拦截并修改此流量的攻击者均可篡改下载URL，例如将其替换为恶意负载链接。在8.8.7版本之前，Notepad++依赖嵌入GitHub源代码的自签名证书，使得此类篡改和重新分发成为可能。

安全强化措施

自v8.8.7起，Notepad++开始采用受信任的GlobalSign数字证书，用户无需再安装单独的根证书，显著提升了应用安全性。v8.8.8版本要求WinGUp必须使用GitHub.com作为唯一下载源，而最新发布的v8.8.9版本则通过正确验证下载文件的数字签名和证书进一步强化安全防护——若验证失败，更新进程将立即终止。

风险应对建议

开发者尚未明确流量劫持的具体发生机制，相关调查仍在进行。但现有证据表明，攻击者已针对特定目标组织成功利用该漏洞。强烈建议用户至少升级至v8.8.8版本，但直接升级至v8.8.9更为理想。由于v8.8.8无法检测最新版本，用户需从官网手动下载v8.8.9。

参考来源：

Urgent Patch: Notepad++ WinGUp Flaw Allowed Malware to Hijack Updates

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）