「Notepad++」の自動更新機能にセキュリティ欠陥、偽の更新ファイルにすり替えられる

「Notepad++」v8.8.9

　「Notepad++」で用いられている自動アップデートツール「WinGUp」で、トラフィックハイジャックの脆弱性が発見された。アップデートをダウンロードする際に悪意あるサーバーへリダイレクトされ、偽の実行ファイルがダウンロードされることがあったという。

　この問題の原因は、アップデーターがダウンロードした更新ファイルの整合性と真正性を検証する処理に弱点があったことにある。攻撃者がアップデーターと「Notepad++」更新サーバーの間の通信を傍受できた場合に、正しい更新ファイルではなく、偽のバイナリをダウンロード・実行できるように促すことができたという。

「Notepad++」で用いられている自動アップデートツール「WinGUp」

　12月9日付けでリリースされた「Notepad++」v8.8.9では更新ファイルのチェック処理が強化されており、ダウンロードされたインストーラーの署名が厳密にチェックされるようになった。検証処理に失敗した場合、アップデート処理は中断される。

　「Notepad++」を利用している場合は、旧バージョンの自動アップデート機能ではなく、公式サイトからv8.8.9をダウンロード・インストールした方がよいだろう。v8.8.7以降、インストーラーを含むすべての「Notepad++」バイナリは、GlobalSign社が発行する正当な証明書を使ってデジタル署名されているとのこと。

　「Notepad++」は、海外のプログラマーを中心に幅広い支持を集めているWindows向けのテキストエディター。コンパクトなプログラムサイズと実行速度を重視しており、エディターコンポーネント「Scintilla」をベースに、C++言語（STL）とWin32 APIだけで構築されているのが特徴だ。幅広いプログラミング言語をカバーしたコード補完とシンタックスハイライト（構文色分け）を備えるなど、「メモ帳」代替アプリとしての機能も充実している。対応OSはWindows 8.1/10/11で、ライセンスは「GPL 3.0」。