Notepad++: Sicherheitsupdate gegen Codeschmuggel-Lücke

19. Februar 2026

Notepad++ ist in Version 8.9.2 erschienen. Die neue Fassung verbessert Sicherheitsmechanismen und schließt eine hochriskante Sicherheitslücke, durch die Angreifer beliebigen Code ausführen können.

In der Versionsankündigung von Notepad++ 8.9.2 schreibt der Entwickler Don Ho, daß er die Sicherheit verbessert und eine weitere Sicherheitslücke darin geschlossen habe. Zu den Verbesserungen zählt etwa, daß der Updater jetzt die Integrität und Authentizität des vom Server zurückgelieferten XML üerprüft; dazu setzt er auf XMLDSig, also kryptografische Signaturen. Der automatische Updater WinGUp entfernt zwei curl-Optionen, integriert die curl-Bibliothek statisch, anstatt sie dynamisch (und damit unter Umständen anfällig) zu laden, und startet nur noch signierte Programme. Auch das trägt zur Härtung der Sicherheit bei.

Außerdem schließt Notepad++ 8.9.2 eine Sicherheitslücke, die auftreten kann, wenn der Windows-Explorer ohne absoluten Pfad zur ausführbaren Datei gestartet wird. Dadurch könnte eine manipulierte "explorer.exe" gestartet werden, sofern Angreifer auf das Arbeitsverzeichnis des Prozesses zugreifen können. Das würde zur Ausführung beliebigen Codes im Kontext der laufenden Anwendung führen (CVE-2026-25926, CVSS 7.3, Risiko "hoch").

Neben diesen sicherheitsrelevanten Korrekturen bringt die neue Version auch weitere Fehlerbehebungen mit. So stürzt etwa die Plug-in-Installation in einigen Situationen nicht mehr ab. Im Kontextmenü gab es eine Regression, durch die Lokalisationskürzel nicht rechtsbündig ausgerichtet waren. Und neu dabei ist eine Funktion "Auswahl redigieren".

Notepad++-Nutzer sowie IT-Verantwortliche sollten die bereitstehende Aktualisierung zügig installieren. In der Versionsankündigung stehen auch Downloads für unterschiedliche Plattformen sowie die Quelltexte bereit.

Die Sicherheitslücke im Notepad++-Updater wurde im Dezember vergangenen Jahres bekannt. Untersuchungsergebnisse vom Anfang Februar zeigen, daß die Angreifer, die darüber gezielt Malware verteilt hatten, offenbar staatliche Akteure waren.