Notepad++ corrigiu uma falha grave nenhum mecanismo de atualização (WinGUp) que permitia que um atacante no caminho da conexão sequestrasse o tráfego e fizesse o app baixar e executasse binários maliciosos como se fossem atualizações legítimas.
O que estava vulnerável
O WinGUp consulta o endpoint getDownloadUrl.php no site do Notepad++ para obter, via XML, a URL do instalador, baixa o atualvel para %TEMP% eo executável. Qualquer oponente capaz de interceptar ou desviar esse tráfego (por exemplo, em redes comprometidas ou dispositivos de borda mal configurados) poderia trocar a URL por um payload fraudulento e, como a validação de integridade/autenticidade era fraca, o atualizador aceitava o binário adulterado.
Até a versão 8.8.6, o projeto trazia um certificado autoassinado embutido no código para coincidências binárias, e a lógica de verificação não seguia boas práticas, o que facilitava cenários de sequestro e redistribuição de ocorrências manipuláveis. Pesquisadores relataram casos reais em que WinGUp foi redirecionado para servidores maliciosos e instalou malware em vez de atualização legítima.
Endurecimento a partir de 8.8.7–8.8.9
A correção foi feita nas etapas:
- 8.8.7: adoção do certificado de assinatura de código legítimo da GlobalSign para todos os binários do Notepad++, eliminando a necessidade de instalar um certificado raiz próprio do projeto.
- 8.8.8: WinGUp passou a usar exclusivamente o GitHub.com como fonte de downloaddiminuindo a superfície de redirecionamento para domínios não controlados pelos mantenedores.
- 8.8.9: hardening definitivo – Notepad++ e WinGUp agora verificam corretamente a assinatura digital e certificado de qualquer instalador baixado; se a verificação falhar, a atualização foi abortada e nada foi executado.
Os desenvolvedores ainda investigam exatamente como ocorreu o sequestro de tráfego transferido, mas já confirmaram que o vetor dependia da perda prévia na validação de assinatura/certificado no caminho de atualização.
O que fazer como usuário ou administrador
- Atualizar manualmente o Notepad++ para um versão 8.8.9 baixando apenas do site oficial ou do repositório GitHub oficial, pois versões antigas podem ter adequada atualização via canal parcialmente comprometido.
- Remova qualquer “certificado raiz do Notepad++” personalizado eventualmente instalado no passado, já que o projeto agora usa o certificado GlobalSign confiável e não requer âncoras de confiança extras.
- Em estações que executam atualizações a partir de versões antigas (antes da 8.8.7), rodar uma varredura completa com solução de segurança robusta e, em caso de sinais claros de comprometimento, considere a reinstalação limpa do sistema.
A elevação do modelo de atualização do Notepad++ ao padrão esperado para canais de atualização seguros: origem restrita, binários assinados com CA reconhecida e verificação estrita de certificado e assinatura antes de instalar qualquer coisa.
