ニュース
人気テキストエディター「Notepad++」に脆弱性が指摘されるも、開発元は否定
DLLハイジャックの脆弱性に「CVE-2025-56383」が付番されたが現在は係争中
2025年10月8日 15:48
最近、海外のプログラマーを中心に幅広い支持を集めているWindows向けのテキストエディター「Notepad++」にDLLハイジャックの脆弱性「CVE-2025-56383」があるとして「GitHub」に概念実証(PoC)コードが公開された。しかし、これが脆弱性であるかどうかについては疑義が呈されている。「Notepad++」は10月7日にv8.8.6へと更新されているが、「CVE-2025-56383」への対策は含まれていない。
「Notepad++」はプラグイン機構を備えており、プラグインDLLを追加することで機能を拡充できる。「CVE-2025-56383」の報告者は、「Notepad++」がプラグインDLLを探す処理(検索パス)に問題があり、正規のプラグインDLLの代わりに偽のプラグインDLLを読み込ませることができると主張している。
しかし、この攻撃を成立させるには偽のプラグインDLLを「Notepad++」のインストールフォルダーに配置する必要がある。「Notepad++」をインストーラーでセットアップした場合、このフォルダーは「C:¥Program Files¥Notepad++」となるが、「C:¥Program Files¥」は管理者権限で保護されており、偽のプラグインDLLを配置するにはユーザーの許可が必要となる(もしくはすでに別の方法でシステムが乗っ取られている)。これを脆弱性と認めるのであれば、すべてのWindowsアプリが脆弱であるということになるだろう。
「CVE-2025-56383」に関しては、現在「Disputed」(異議あり、係争中)というステータスになっている。
「Notepad++」の開発チームは、一部“セキュリティ専門家”たちの権威を盲目的に信頼するのをやめ、ちゃんと考えて(with common sense)PoCコードを読むよう呼び掛けている。
ソフトウェア情報
- 「Notepad++」
- 【著作権者】
- Notepad++ team
- 【対応OS】
- Windows 8.1/10/11
- 【ソフト種別】
- フリーソフト(寄付歓迎)
- 【バージョン】
- 8.8.6(24/10/07)