Offenbar hat sich der Update-Mechanismus dieses Editors Malware unterschieben lassen:
https://www.heise.de/news/Notepad-Updater-installierte-Malware-11109571.html


Die aktuelle Version ist 8.8.9 und es ist besser sie manuell herunterzuladen:
https://notepad-plus-plus.org/downloads/v8.8.9/

Edit: mehr Infos:
https://doublepulsar.com/small-numbers-of-notepad-users-reporting-security-woes-371d7a3fd2d9

Der Updater wurde dann in die Irre geführt wenn DNS-Einträge auf ISP-Level umgebogen wurden. Und da Notepad++ selbst erzeugte Zertifikate nutzte, fiel das nicht auf. Manipulationen auf ISP-Level deuten sehr stark auf staatliche Akteure hin. Denn Staaten können ISPs dazu zwingen DNS-Einträge zu manipulieren. In dem Artikel steht auch drin, dass das Ostasien betrifft.

Aber nur bei gezielten Netzwerkmanipulationen. Man hätte natürlich mal ein LLM draufwerfen können, was einem mitunter gesagt hätte, dass die Art der Signierung und Prüfung für den Hintern ist.

DAS wäre doch mal eine Funktion für Windows gewesen, den Software-Programmieren den Update-Prozess abzunehmen und gleichzeitig für dessen Sicherheit zu sorgen. Natürlich ohne Store-Zwang. Hätte man schon vor einer Dekade mit anfangen müssen.

Aber was macht Microsoft stattdessen? Haufen unnützte Funktionen und ein mit der Zeit kaputtgehendes OS.

DAS wäre doch mal eine Funktion für Windows gewesen, den Software-Programmieren den Update-Prozess abzunehmen und gleichzeitig für dessen Sicherheit zu sorgen. Natürlich ohne Store-Zwang. Hätte man schon vor einer Dekade mit anfangen müssen.

Aber was macht Microsoft stattdessen? Haufen unnützte Funktionen und ein mit der Zeit kaputtgehendes OS.

Es gibt ja schon seit längerer Zeit den Microsoft Store. Da ist sowas möglich.

Nur ist es halt so, wenn das staatliche Akteure waren dann würden sie wohl auch Microsoft dazu zwingen mit Malware versuchtes Notepad++ auszuliefern.

Staatliche Akteure, die MS erpressen können, sind nur die USA. Und die werden so etwas nicht über die gesamte Menschheit ausschütten, sondern gezielt irgendwen angreifen. Betrifft also den Normalbürger nicht - ergo kein echtes Problem.

Store kann das, aber Store kann eben nur mit bestimmter Software umgehen. Für die Zweckmäßigkeit, die Updates zu zentralisieren, ist diese Einschränkung einfach nur Müll. Es wird nie rein nur Win-Apps geben.

Die USA, die seit Monaten die feindselige Rhetorik gegenüber Europa hochdrehen?

Store kann das, aber Store kann eben nur mit bestimmter Software umgehen.
Nö? Kannst da seit Ewigkeiten alles an Win32-Anwendungen verteilen, von Treibern vielleicht abgesehen.

Aber der App-Entwickler kann auch einfach seine Hausaufgaben machen...

Staatliche Akteure, die MS erpressen können, sind nur die USA. Und die werden so etwas nicht über die gesamte Menschheit ausschütten, sondern gezielt irgendwen angreifen. Betrifft also den Normalbürger nicht - ergo kein echtes Problem.


Nein. Jede Firma muss sich den lokalen Gesetzen beugen. Und wenn ein Staat Gesetze hat, die die Installation von Hintertüren erzwingen dann kann Microsoft auch nichts machen. Oder sich aus dem Land komplett zurückziehen.

Und die deutschen Internet Provider müssen auch nachgeben und Möglichkeiten bereitstellen, dass div. Behörden Trojaner installieren dürfen:
https://www.reporter-ohne-grenzen.de/artikel/pressemitteilungen/545/fragen-und-antworten-zur-staatstrojaner-klage

"Internet-Anbieter müssen laut dem Gesetz die „berechtigten Stellen“ technisch dabei unterstützen, die Spähsoftware auf dem Gerät zu installieren."


Store kann das, aber Store kann eben nur mit bestimmter Software umgehen. Für die Zweckmäßigkeit, die Updates zu zentralisieren, ist diese Einschränkung einfach nur Müll. Es wird nie rein nur Win-Apps geben.

Nein. Das mit dem WinUI-Zwang entfällt und es können auch reguläre Windows-Anwendungen angeboten werden. Selbst Java-Anwendungen sind möglich. Sowas wie Geräte-Treiber mal ausgenommen. Und die Anwendungen müssen AFAIR "self-contained" sein. Also alle Abhängigkeiten mitbringen.

In case an attacker is able to intercept the network traffic between the updater client and the Notepad++ update infrastructure, this weakness can be leveraged by an attacker to prompt the updater to download and executed an unwanted binary (instead of the legitimate Notepad++ update binary).

This traffic is supposed to be over HTTPS, however it appears you may be to tamper with the traffic if you sit on the ISP level and TLS intercept.

Also nicht "kompromittiert", sondern "nur" kein Schutz gegen Man-in-the-middle Attacken.
Zudem: May?! https sollte heissen: niemand kann es manipulieren. Vllt. laesst sich irgendeine Komponente auf eine http-Fallback connection runterhandeln....

Because traffic to notepad-plus-plus.org is fairly rare, it may be possible to sit inside the ISP chain and redirect to a different download.
Bei solchen Sätzen weiss ich nicht ob ich nicht verstehe wie http(s) funktioniert, oder ob mal wieder eine Ki halluziniert...

Vllt. laesst sich irgendeine Komponente auf eine http-Fallback connection runterhandeln....

Schon befremdlich, dass das nicht näher ausgeführt ist. Aber ohne die verkackte Signierung und Überprüfung hätten die Angriffe halt auch mit http sowieso nicht geklappt. Wirklich einfach nur ein massiver Fail.

der n++ hatte damals ganz klar kommuniziert, dass das Signieren dazu da ist, damit MS weniger rumheult. Das Zertifikat im Repo war kein Versehen/Fail.

Tja, bei Kate haben selbst bei den Nightlies der Windows-Installer, die eigentliche .exe und offenbar auch alle DLLs eine gültige KDE-Signatur. Und über den Microsoft Store ist es auch installierbar. Es ist und bleibt eine Fehlentscheidung des Entwicklers. Gibt afair auch Möglichkeiten, für bekanntere Open-Source-Projekte kostenlos eine belastbare Signierung zu erhalten...

Mehr Details:

https://cyberplace.social/@GossiTheDog/115691672586737292
I hadn’t put the full details in the blog at the time, but the Notepad++ updater didn’t check if the update package was valid in any way - it just executed it. Also the update process used TLS.. but didn’t validate the session, so it could be hijacked to change the download.

Daher also anfällig für MitM-Attacken.

Nein. Das mit dem WinUI-Zwang entfällt und es können auch reguläre Windows-Anwendungen angeboten werden. Selbst Java-Anwendungen sind möglich. Sowas wie Geräte-Treiber mal ausgenommen. Und die Anwendungen müssen AFAIR "self-contained" sein. Also alle Abhängigkeiten mitbringen.

Hast Recht, habe ich mich lange Zeit nicht mehr damit beschäftigt. Ziehe mein Argument hiermit zurück.


Nein. Jede Firma muss sich den lokalen Gesetzen beugen. Und wenn ein Staat Gesetze hat, die die Installation von Hintertüren erzwingen dann kann Microsoft auch nichts machen. Oder sich aus dem Land komplett zurückziehen.

Korrekt. Aber alles nur in dem Rahmen, dass es die USA nicht stört. Wenn es die USA dagegen stört, wird alles aufgefahren, was geht und was nicht geht. Insofern sind die USA in diesem Fall auch ein klein wenig Regulator der Dinge, der darauf aufpasst, dass es nicht zu viel wird. Viele wollen gern Backdoors, aber nur wenige bekommen sie tatsächlich in der Praxis.

Ist unschön aber sehe ich nicht als dicke Lücke an. Heutzutage ist eher das Problem das man Software hat, die sich nach der Installation noch was runter lädt und das von Google, MS. Apple & co so abgeknickt wird. Oder einfach Abhängigkeiten wo sich unbemerkt was rein geschlichen hat.
Diese Lücke ist da schon etwas zaghafter, weil erst mal eine man in the middle Attacke durchgeführt werden muss und ich würde behaupten dann hat man noch viel größere Probleme. Aber klar, jedes Einfallstor sollte geschlossen werden. Letztlich ist es eine kostenlose Software, die quasi niemand bezahlt aber viele nutzen. Da kann man schon froh sein, wenn überhaupt eine Prüfung (wenn auch mit eigenem Zertifikat) drin ist.

Das sollte nicht mehr der Anspruch sein. LLMs sind sehr gut darin, solche Schnitzer automatisch zu bemerken und anzukreiden, mit Lösungsvorschlägen oder gar Lösungen direkt auf dem Servierteller. Hätte die xz-Backdoor sicherlich auch bemerkt, zumindest mit aktuellen Modellen.