ニュース

人気テキストエディター「Notepad++」に脆弱性が指摘されるも、開発元は否定

DLLハイジャックの脆弱性に「CVE-2025-56383」が付番されたが現在は係争中

「Notepad++」v8.8.6

 最近、海外のプログラマーを中心に幅広い支持を集めているWindows向けのテキストエディター「Notepad++」にDLLハイジャックの脆弱性「CVE-2025-56383」があるとして「GitHub」に概念実証(PoC)コードが公開された。しかし、これが脆弱性であるかどうかについては疑義が呈されている。「Notepad++」は10月7日にv8.8.6へと更新されているが、「CVE-2025-56383」への対策は含まれていない。

 「Notepad++」はプラグイン機構を備えており、プラグインDLLを追加することで機能を拡充できる。「CVE-2025-56383」の報告者は、「Notepad++」がプラグインDLLを探す処理(検索パス)に問題があり、正規のプラグインDLLの代わりに偽のプラグインDLLを読み込ませることができると主張している。

「CVE-2025-56383」の概念実証(PoC)デモ

 しかし、この攻撃を成立させるには偽のプラグインDLLを「Notepad++」のインストールフォルダーに配置する必要がある。「Notepad++」をインストーラーでセットアップした場合、このフォルダーは「C:¥Program Files¥Notepad++」となるが、「C:¥Program Files¥」は管理者権限で保護されており、偽のプラグインDLLを配置するにはユーザーの許可が必要となる(もしくはすでに別の方法でシステムが乗っ取られている)。これを脆弱性と認めるのであれば、すべてのWindowsアプリが脆弱であるということになるだろう。

 「CVE-2025-56383」に関しては、現在「Disputed」(異議あり、係争中)というステータスになっている。

「CVE-2025-56383」は現在、「Disputed」(異議あり、係争中)

 「Notepad++」の開発チームは、一部“セキュリティ専門家”たちの権威を盲目的に信頼するのをやめ、ちゃんと考えて(with common sense)PoCコードを読むよう呼び掛けている。

ソフトウェア情報

「Notepad++」
【著作権者】
Notepad++ team
【対応OS】
Windows 8.1/10/11
【ソフト種別】
フリーソフト(寄付歓迎)
【バージョン】
8.8.6(24/10/07)