Kövess minket:
Letoltes.net - Biztonságos és ingyenes program letöltések

Friss Notepad++ sebezhetőség: három hiba, egy kódfuttatás — frissíts 8.9.6.1-re

Friss Notepad++ sebezhetőség: három hiba, egy kódfuttatás — frissíts 8.9.6.1-re

Mi történt pontosan?

A Notepad++ az egyik legelterjedtebb ingyenes szövegszerkesztő Windowson: fejlesztők, rendszergazdák és hétköznapi felhasználók tízmilliói használják naponta. Éppen ezért váltott ki figyelmet, hogy 2026 májusában három különálló sebezhetőséget hoztak nyilvánosságra, amelyek a program 8.9.6-os és korábbi verzióit érintik.

A hibákat a fejlesztőcsapat a GitHub biztonsági figyelmeztetésen (advisory azonosító: GHSA-7hm3-wp5q-ccv9) keresztül ismerte el, és a 2026. május 26-án megjelent 8.9.6.1-es kiadásban javította. A három hiba hivatalos azonosítója:

  • CVE-2026-48778 — tetszőleges kódfuttatás a config.xml beállításfájlon keresztül (a legsúlyosabb);

  • CVE-2026-48800 — tetszőleges kódfuttatás a shortcuts.xml fájlon keresztül;

  • CVE-2026-48770 — összeomlást és szolgáltatásmegtagadást (DoS) okozó hiba hibás formátumú adatszerkezeteknél.

Mind a hármat összeköti egy közös gyökérok: a Notepad++ megbízhatónak tekinti a saját konfigurációs fájljainak tartalmát, és bizonyos értékeket érvényesítés (validáció, fehérlista vagy aláírás-ellenőrzés) nélkül használ fel. Nézzük meg egyenként, mit jelent ez a gyakorlatban.

A három sebezhetőség részletesen

CVE-2026-48778 — a parancssori értelmező eltérítése

Ez a hibák legsúlyosabbika, és a forrásközlések magas, illetve kritikus súlyosságúnak minősítik. A probléma a Notepad++ config.xml nevű beállításfájljának egyetlen sorához köthető: a <GUIConfig name="commandLineInterpreter"> tag-hez.

Ez a beállítás azt tárolja, hogy a szerkesztő melyik parancssori értelmezőt (alapból a Windows cmd.exe-jét) nyissa meg, amikor a felhasználó a File → Open Containing Folder → cmd menüpontra kattint. A baj az, hogy a program ezt az értéket — a források szerint a Parameters.cpp állományban lévő NppXml::value() hívással beolvasva — mindenféle ellenőrzés nélkül eltárolja, majd a menüpont aktiválásakor egy az egyben átadja a Windows ShellExecute() függvényének.

Magyarra fordítva: ha valaki ki tudja cserélni ezt az egy értéket egy ártalmas parancsra vagy programútvonalra, akkor abban a pillanatban, amikor a gyanútlan felhasználó megnyitja a „mappa megnyitása parancssorban" funkciót, már a támadó által megadott kód fut le — a felhasználó saját jogosultságaival.

CVE-2026-48800 — a shortcuts.xml fegyverré válása

A második kódfuttatási hiba ugyanezt a logikát követi, csak egy másik fájlon: a billentyűparancsokat és makró-hozzárendeléseket tároló shortcuts.xml állományon. A források szintén kritikus súlyosságúként kezelik.

A minta azonos: a Notepad++ a billentyűparancsokhoz rendelt parancsokat és útvonalakat megbízhatónak veszi, és nem szűri meg őket. Egy manipulált shortcuts.xml így olyan „parancsikont" csempészhet a programba, amely egy ártalmatlannak tűnő billentyűkombináció lenyomásakor valójában a támadó kódját indítja el. A tanulság ugyanaz, mint a 48778-nál: a konfigurációs és parancsikon-adatok nem biztonságos kezelése kódfuttatáshoz vezet.

CVE-2026-48770 — összeomlás és szolgáltatásmegtagadás

A harmadik hiba nem kódfuttatást, hanem összeomlást tesz lehetővé: hibás formátumú (malformált) adatszerkezetek feldolgozásakor a program elszállhat, ami szolgáltatásmegtagadási (DoS) állapotot eredményez. Önmagában ez kevésbé veszélyes, mint a kódfuttatás, de egy célzott támadásban például a munka megzavarására vagy más hibák kihasználásának előkészítésére használható. A forrásközlések ezt a hibát magas súlyosságúként tartják számon.

Hogyan juthat be a támadó?

Fontos tisztán látni: ezek a hibák nem teszik lehetővé, hogy valaki a semmiből, távolról törje fel a gépedet pusztán azért, mert Notepad++-t használsz. Mindhárom kihasználásához a támadónak előbb módosítania kell egy fájlt a gépeden — jellemzően a %APPDATA%\Notepad++ mappában lévő config.xml-t vagy shortcuts.xml-t. A nyilvánosságra hozott elemzés több reális utat sorol fel, hogyan kerülhet oda manipulált beállításfájl:

  • Helyi folyamat ugyanazzal a felhasználói fiókkal: egy már futó, kevésbé veszélyesnek tűnő program (vagy korábban befészkelt kártevő) átírhatja a beállításfájlt, és így „felminősítheti" magát stabil kódfuttatássá.

  • Manipulált parancsikon a -settingsDir kapcsolóval: a Notepad++ indítható úgy, hogy a beállításait egy tetszőleges mappából olvassa. Egy preparált indító parancsikon a támadó által előkészített konfigurációra mutathat.

  • Felhőben szinkronizált beállítások „megmérgezése": ha a beállításmappa felhős szinkronizáció (pl. mappaszinkron) alatt áll, egy másik, kompromittált eszközről bekerülhet a fertőzött fájl.

  • Social engineering / csomagból kicsomagolás: a felhasználót ráveszik, hogy egy ártalmasnak tűnő archívumot az AppData könyvtárba csomagoljon ki, felülírva a meglévő beállításokat.

Felelős tájékoztatásként szándékosan nem közlünk lépésről lépésre kihasználható receptet — a cél az, hogy megértsd a mechanizmust és védekezni tudj, nem az, hogy bárki visszaéljen vele.

Mekkora a valódi kockázat?

Érdemes higgadtan mérlegelni. A kódfuttatási hibák közös előfeltétele, hogy a támadó már képes legyen írni a felhasználó beállításfájljaiba. Ha valaki idáig eljutott, akkor jellemzően amúgy is komoly hozzáférése van a géphez. Éppen ezért a biztonsági szakmában vita is övezi az ilyen „helyi konfiguráció-manipuláció → kódfuttatás" típusú hibák besorolását: egyesek valódi sebezhetőségnek tartják, mások a Windows-os alkalmazások elvárt viselkedésének. (Hasonló vita kísérte a Notepad++ korábbi, CVE-2025-56383 jelű DLL-betöltési hibáját is, amelyet több fél vitatottként jelölt meg.)

Ettől függetlenül a kockázat nem elhanyagolható: a hibák kényelmes „utótöltetet" adnak egy már bejutott támadó kezébe, hogy észrevétlenül, egy megbízható programon keresztül stabilizálja a jelenlétét. A fejlesztők reakciója — gyors javítás és a beállításadatok szigorúbb kezelése — éppen ezt ismeri el. A józan következtetés: nem kell pánikolni, de frissíteni igenis érdemes.

Nem ez az első nehéz hónap a Notepad++ körül

A mostani hibák egy mozgalmas időszak végét jelentik. 2025 második felében — több, egymástól független elemzés szerint — a Notepad++ hivatalos terjesztői infrastruktúráját egy államilag támogatott csoporthoz kötött, célzott ellátási lánc elleni (supply chain) támadás érte, amelynek során a frissítési forgalmat időszakosan eltérítették bizonyos célpontok felé. Erre válaszul a fejlesztők megerősítették a beépített frissítőt (WinGup), és a 8.9.2-es verzióban egy CVE-2026-25926 jelű, DLL-oldalbetöltéssel kapcsolatos hibát is kezeltek a libcurl.dll eltávolításával.

Hangsúlyozzuk: ez a tavalyi infrastruktúra-incidens külön ügy, nem azonos a mostani három, helyi beállításfájlokhoz kötődő hibával. Együtt mégis jól mutatják, hogy egy ennyire elterjedt eszköz miért válik vonzó célponttá — és miért éri meg mindig naprakészen tartani.

Mit tegyél most? — gyakorlati teendők

  1. Frissíts azonnal 8.9.6.1-re (vagy újabbra). Ez a legfontosabb és egyben elegendő lépés a három hiba ellen. A program ? → Update Notepad++ menüpontjából, vagy a hivatalos notepad-plus-plus.org oldalról töltsd le.

  2. Mindig hivatalos forrásból tölts. A telepítőt csak a fejlesztők oldaláról szerezd be, és lehetőség szerint ellenőrizd a digitális aláírást — különösen a tavalyi terjesztési incidens után.

  3. Nézd át a beállításfájljaidat. Ha gyanús a géped, ellenőrizd a %APPDATA%\Notepad++\config.xml és shortcuts.xml tartalmát, főleg a commandLineInterpreter értéket — annak normál esetben a cmd.exe-re kell mutatnia.

  4. Korlátozd a telepítési mappa írási jogát. A Notepad++-t olyan könyvtárba telepítsd (pl. a Program Files alá), ahová csak rendszergazda írhat — ez sok hasonló, helyi betöltéses trükköt eleve kizár.

  5. Légy óvatos a szinkronizált beállításokkal. Ha a Notepad++ beállításait felhőben szinkronizálod gépek között, gondold át, mennyire bízol meg minden végpontban.

  6. Tartsd élesben a védelmet. Egy naprakész vírusirtó (akár a beépített Microsoft Defender) és a felhasználói fiók-felügyelet (UAC) jelentősen csökkenti annak esélyét, hogy egy támadó egyáltalán a beállításfájljaidig jusson.

Összegzés

A Notepad++ 8.9.6.1-es kiadása három, 2026 májusában nyilvánosságra hozott hibát foltoz be: két kódfuttatási sebezhetőséget (CVE-2026-48778 és CVE-2026-48800), amelyek a config.xml, illetve shortcuts.xml érvényesítetlen feldolgozását használják ki, valamint egy összeomlást okozó DoS-hibát (CVE-2026-48770). A kihasználáshoz a támadónak előbb hozzá kell férnie a beállításfájljaidhoz, ezért a kockázat reális, de nem pánikkeltő. A teendő egyszerű és egyértelmű: frissíts a legújabb verzióra, és csak hivatalos forrásból tölts. Pár perc most — sok fejfájástól kímélhet meg később.

A cikk a megjelenéskor elérhető nyilvános források alapján készült. A megerősített tényeket (verziók, CVE-azonosítók, dátumok) elkülönítettük a besorolást övező szakmai vitától; konkrét, fegyverként használható kihasználási lépéseket szándékosan nem közlünk.

Címkék

Found this useful? Share it with someone.
Megosztás:

0 hozzászólások

A hozzászóláshoz kérjük, jelentkezz be.