Neues aus der IT-Welt

28. Mai 2026

Ein weiteres Update steht für Notepad++ bereit. Es schließt drei Sicherheitslücken, von denen zwei als hohes Risiko eingestuft sind und Angreifern ermöglichen, etwa Befehle oder gar Schadcode einzuschmuggeln und auszuführen.

In der Release-Ankündigung zu Notepad++ v8.9.6.1 schreibt Entwickler Don Ho, daß die neue Version die drei Schwachstellen ausbessert. In der Konfigurationsdatei "config.xml" gibt es keine Einschränkung für den Parameter "commandLineInterpreter", sodaß etwa Angreifer mit Nutzerrechten den Eintrag anpassen oder mittels bösartigem .lnk eigene Dateien starten lassen können. Damit diese Datei gestartet wird, müssen Opfer "Datei" - "Aktuellen Ordner öffnen" und dort "Eingabeaufforderung (cmd)" auswählen. Die Lösung sieht vor, die erlaubten Einträge etwa auf cmd.exe, powershell.exe oder bash.exe zu beschränken, eine Pfadprüfung sowie eine Rückfrage bei Nutzern zu stellen (CVE-2026-48778, CVSS 7.8, Risiko "hoch").

Eine ähnliche Schwachstelle öffnet das ""-Tag innerhalb von "" in der "shortcuts.xml"-Datei. Die führt aus, was immer dort eingetragen ist, nach dem Klick auf den entsprechenden Eintrag unter "Ausführen" im Notepad++-Menü. Hier soll ebenfalls die Nutzer-Rückfrage vor Ausführung helfen oder etwa eine Warnung, wenn dort neue Einträge auftauchen, die nicht über die Programm-GUI angelegt wurden (CVE-2026-48800, CVSS 7.8, Risiko "hoch"). Die dritte Lücke ermöglicht lokalen Prozessen, "WM_COPYDATA"-Nachrichten an Notepad++ zu schicken; mit präparierten Anfragen bringt das Notepad++ zum Absturz, ein Denial-of-Service ist möglich (CVE-2026-48770, CVSS 5.0, Risiko "mittel").

Auf der Download-Seite des Notepad++-Projekts steht die neue Version in verschiedenen Formaten zum Herunterladen bereit. Die aktualisierte Software müssen Nutzer derzeit noch manuell herunterladen und überinstallieren. Der integrierte Update-Mechanismus von Notepad++ v8.9.5 meldet, die Software sei aktuell - Ho hat die neuen Releases (auch die Version v8.9.6) also noch nicht darüber freigegeben.