Notepad++ part7

2025/10/08(水) 21:26:53.25ID:3hUWpdb20
人気テキストエディター「Notepad++」に脆弱性が指摘されるも、開発元は否定
DLLハイジャックの脆弱性に「CVE-2025-56383」が付番されたが現在は係争中
https://forest.watch.impress.co.jp/docs/news/2053348.html

「Notepad++」はプラグイン機構を備えており、プラグインDLLを追加することで機能を拡充できる。「CVE-2025-56383」の報告者は、「Notepad++」がプラグインDLLを探す処理(検索パス)に問題があり、正規のプラグインDLLの代わりに偽のプラグインDLLを読み込ませることができると主張している。

しかし、この攻撃を成立させるには偽のプラグインDLLを「Notepad++」のインストールフォルダーに配置する必要がある。「Notepad++」をインストーラーでセットアップした場合、このフォルダーは「C:\Program Files\Notepad++」となるが、「C:\Program Files\」は管理者権限で保護されており、偽のプラグインDLLを配置するにはユーザーの許可が必要となる(もしくはすでに別の方法でシステムが乗っ取られている)。これを脆弱性と認めるのであれば、すべてのWindowsアプリが脆弱であるということになるだろう。

「CVE-2025-56383」に関しては、現在「Disputed」(異議あり、係争中)というステータスになっている。

「Notepad++」の開発チームは、一部“セキュリティ専門家”たちの権威を盲目的に信頼するのをやめ、ちゃんと考えて(with common sense)PoCコードを読むよう呼び掛けている。
472名無しさん@お腹いっぱい。
垢版 |
2025/10/08(水) 22:27:33.19ID:HFtUgh9m0
>>471
は?って記事だな
2025/10/21(火) 01:09:22.85ID:5WbsSlgu0
Notepad++ v8.8.7
https://notepad-plus-plus.org/downloads/v8.8.7/
2025/11/19(水) 02:54:50.11ID:pJObobzX0
Notepad++ v8.8.8
https://notepad-plus-plus.org/downloads/v8.8.8/
新着レスの表示
レスを投稿する

16歳の水野カイトが封印の刀を見つけ、時間が裂けて黒い風と亡霊の侍が現れ、霊の時雨と契約して呪われた刀の継承者となる場面
ニューススポーツなんでも実況