人気テキストエディター「Notepad++」に脆弱性が指摘されるも、開発元は否定

「Notepad++」v8.8.6

　最近、海外のプログラマーを中心に幅広い支持を集めているWindows向けのテキストエディター「Notepad++」にDLLハイジャックの脆弱性「CVE-2025-56383」があるとして「GitHub」に概念実証（PoC）コードが公開された。しかし、これが脆弱性であるかどうかについては疑義が呈されている。「Notepad++」は10月7日にv8.8.6へと更新されているが、「CVE-2025-56383」への対策は含まれていない。

　「Notepad++」はプラグイン機構を備えており、プラグインDLLを追加することで機能を拡充できる。「CVE-2025-56383」の報告者は、「Notepad++」がプラグインDLLを探す処理（検索パス）に問題があり、正規のプラグインDLLの代わりに偽のプラグインDLLを読み込ませることができると主張している。

「CVE-2025-56383」の概念実証（PoC）デモ

　しかし、この攻撃を成立させるには偽のプラグインDLLを「Notepad++」のインストールフォルダーに配置する必要がある。「Notepad++」をインストーラーでセットアップした場合、このフォルダーは「C:¥Program Files¥Notepad++」となるが、「C:¥Program Files¥」は管理者権限で保護されており、偽のプラグインDLLを配置するにはユーザーの許可が必要となる（もしくはすでに別の方法でシステムが乗っ取られている）。これを脆弱性と認めるのであれば、すべてのWindowsアプリが脆弱であるということになるだろう。

　「CVE-2025-56383」に関しては、現在「Disputed」（異議あり、係争中）というステータスになっている。

「CVE-2025-56383」は現在、「Disputed」（異議あり、係争中）

　「Notepad++」の開発チームは、一部“セキュリティ専門家”たちの権威を盲目的に信頼するのをやめ、ちゃんと考えて（with common sense）PoCコードを読むよう呼び掛けている。