ニュース
CIAが悪用していたセキュリティホールを埋めた「Notepad++」v7.3.3が公開
“Wikileaks”によって暴露されたCIAの機密資料“Vault 7”で判明
2017年3月9日 12:45
テキストエディター「Notepad++」の最新版v7.3.3が、8日に公開された。今回のアップデートは、不具合の修正がメインのメンテナンスリリース。脆弱性の修正も行われているので、なるべく早めの更新を心がけたい。
今回修正された脆弱性は、“DLLハイジャック”と呼ばれるタイプのもの。「Notepad++」が利用するライブラリ「scilexer.dll」が何らかの手段で不正なものに置き換えられると、「Notepad++」が起動時に誤ってそれを読み込んでしまい、その活動を許してしまう。
この件は、最近“Wikileaks”によって暴露されたCIAの機密資料“Vault 7”で明らかになった。それによると、CIAがハッキングの標的にしているツールに「Notepad++」がリストアップされていたという。CIAの狙いは「Notepad++」で編集しているテキストの内容ではなく、バックグラウンドでの情報収集をカモフラージュすることにあったようだ。もし下手なコードや恥ずかしいポエムを「Notepad++」で書いていたとしても、それがCIAに漏れた可能性は低い。
v7.3.3ではこの脆弱性に対処するため、「scilexer.dll」を読み込む前に証明書をチェックし、改竄されていないかを検証するようになっている。もし証明書が無効であれば「scilexer.dll」は読み込まれず、「Notepad++」は起動しない。
「Notepad++」は、オープンソースで開発されているプログラマー向けのテキストエディター。実行速度を重視したコンパクトなサイズながら、幅広いプログラミング言語をサポートしたコード補完機能とシンタックスハイライト機能を備えており、海外のプログラマーを中心に幅広い支持を受けている。寄付歓迎のフリーソフトで、現在本ソフトの公式サイトからダウンロードできる。
ソフトウェア情報
- 「Notepad++」
- 【著作権者】
- Notepad++ team
- 【対応OS】
- Windows(編集部にてWindows 10で動作確認)
- 【ソフト種別】
- フリーソフト(寄付歓迎)
- 【バージョン】
- 7.3.3(17/03/08)