Thought Leadership
Kritische Sicherheitslücken in Notepad++ erlauben die Ausführung von Schadcode über manipulierte XML-Dateien. Version 8.9.6.1 behebt den Fehler.
Am 29. Mai 2026 wurde für den weitverbreiteten Text- und Quelltext-Editor Notepad++ eine Reihe von Notfall-Patches herausgegeben. Die Software, die weltweit von rund 28 Millionen Anwendern genutzt wird, wies in den vorherigen Versionen drei kritische Sicherheitslücken auf. Der Entwickler und Betreuer des Open-Source-Projekts, Don Ho, hat diese Schwachstellen mit der Veröffentlichung der neuen Version 8.9.6.1 geschlossen. Die Sicherheitslücken ermöglichen es potenziellen Angreifern, Schadsoftware auf den Systemen der Nutzer auszuführen.
Die Ausnutzung des Schadcodes kann unter bestimmten Bedingungen bereits durch einfache Benutzeraktionen wie das Klicken auf einen Menüeintrag oder das Ausführen einer präparierten Verknüpfungsdatei ausgelöst werden. IT-Verantwortliche in Unternehmen werden daher aufgefordert, die installierten Instanzen der Anwendung zeitnah auf die fehlerbereinigte Version zu aktualisieren, um das Risiko einer Kompromittierung der lokalen Arbeitsstationen zu minimieren.
Manipulation ungeschützter Konfigurationsdateien ermöglicht Codeausführung
Die technische Ursache der schwerwiegendsten Sicherheitslücken liegt in der fehlerhaften Verarbeitung interner Konfigurationsdaten. Die Software speichert Einstellungen und Verknüpfungen in zwei zentralen XML-Dateien auf dem System: config.xml und shortcuts.xml. Die Sicherheitsanalysen zeigten, dass diese Dateien von der Anwendung ohne jegliche Validierung, digitale Signaturen oder sonstige Integritätsprüfungen eingelesen werden. Ein Angreifer kann daher schadhafte Befehlsketten direkt in diese Konfigurationsdateien injizieren. Der unabhängige Sicherheitsforscher Michele Piccinni, welcher die Schwachstellen entdeckt und an den Entwickler gemeldet hat, beschrieb die Direktheit des Angriffsvektors in seiner technischen Analyse mit einem prägnanten Satz:
„Config.xml zu ShellExecute. Der kürzeste Weg, den ich je von einer Quelle zu einer Senke zurückverfolgt habe.“
Michele Piccinni, unabhängiger Sicherheitsforscher
Die beiden primären Schwachstellen werden unter den Kennungen CVE-2026-48778 und CVE-2026-48800 geführt und erhielten eine Severity-Bewertung von 7,8 von 10 Punkten auf der Risikoskala. Die Dokumentation der Fehler verdeutlicht die konkreten Auslöser innerhalb der Benutzeroberfläche. Die in der Datei config.xml hinterlegte Schadlast wird automatisch aktiviert, sobald ein Benutzer den Menüpfad Datei -> Ordner des aktuellen Dokuments öffnen -> cmd aufruft. Die in der shortcuts.xml platzierten Payloads werden wiederum durch manipulierte, neu injizierte Menüeinträge zur Ausführung gebracht, wenn der Anwender diese anklickt.
Dokumentation der vier potenziellen Angriffsvektoren
Obwohl ein Angreifer für eine erfolgreiche Ausnutzung entweder bereits einen initialen Zugang zum Zielsystem besitzen oder den Benutzer zu einer schadhaften Interaktion verleiten muss, bewerten Experten die Ausnutzung als unkompliziert. In den offiziellen Sicherheitswarnungen werden vier konkrete Angriffsvektoren detailliert beschrieben. Der erste Vektor betrifft Angreifer, die sich bereits einen ersten Zugriff auf das System verschafft haben. Diese können die Einstellungsdateien direkt modifizieren, um ihre Schadlasten mit den vollen Benutzerrechten des angemeldeten Anwenders auszuführen und so eine dauerhafte Persistenz auf dem Rechner zu etablieren.
Der zweite Angriffsvektor basiert auf Social Engineering über manipulierte Verknüpfungsdateien mit der Endung .lnk. Ein Angreifer kann eine solche Datei an das Opfer senden, die so konfiguriert ist, dass sie Notepad++ anweist, die Konfigurationsdaten aus einem externen, vom Angreifer kontrollierten Verzeichnis zu laden. Ein Doppelklick auf die Verknüpfung öffnet somit eine manipulierte Instanz des Editors. Als dritter Vektor wird die Vergiftung von Cloud-Synchronisationen angeführt. Sollte ein Angreifer das Cloud-Konto eines Benutzers kompromittieren, kann er manipulierte XML-Dateien über die automatische Synchronisation direkt auf die lokale Festplatte des Zielsystems einschleusen. Der vierte Vektor umfasst den Einsatz von schadhaften Archiven oder Software-Installationsprogrammen, die im Rahmen von Täuschungsmanövern unbemerkt schadhafte Konfigurationsdateien auf das System kopieren.
Stabilitätsrisiken bei Notepad++
Neben den beiden Fehlern zur Codeausführung beinhaltet das Update auf Version 8.9.6.1 auch die Behebung einer dritten Schwachstelle. Diese weist zwar eine geringere Kritikalität auf, ermöglicht es jedoch lokalen Prozessen, den Editor gezielt und reproduzierbar zum Absturz zu bringen, indem manipulierte oder fehlerhaft formatierte Nachrichten an das Programmfenster gesendet werden.
Die Dringlichkeit des aktuellen Sicherheitsupdates wird durch den historischen Kontext der Anwendung unterstrichen. Notepad++ war in der Vergangenheit bereits mehrfach das Ziel hochentwickelter Cyberangriffe. Erst zu Beginn dieses Jahres missbrauchten mutmaßlich staatlich unterstützte Akteure aus dem chinesischen Raum das offizielle Update-System der Anwendung. Den Angreifern gelang es damals, das Update-Verfahren zu kapern und ausgewählte Nutzer unbemerkt mit Schadsoftware zu infizieren, die über einen Zeitraum von mehreren Monaten hinweg unentdeckt auf den kompromittierten Systemen operierte. Dieser Vorfall verdeutlicht, dass weitverbreitete administrative Werkzeuge ein primäres Ziel für Wirtschaftsspionage und gezielte Sabotageakte darstellen.
Implikationen für die IT-Governance und das IT-Risikomanagement
Die Entdeckung dieser kritischen Schwachstellen wirft ein Schlaglicht auf die Herausforderungen für das IT-Sicherheitsmanagement und die übergeordnete IT-Governance in modernen Unternehmen im Jahr 2026. Da Software-Entwickler, Systemadministratoren und Wissensarbeiter täglich auf Editoren wie Notepad++ zugreifen, genießen diese Anwendungen oft ein hohes inhärentes Vertrauen innerhalb der Belegschaft. Eine vorausschauende IT-Governance darf sich jedoch nicht auf das pauschale Vertrauen in etablierte Werkzeuge verlassen. Im Rahmen des strategischen IT-Risikomanagements müssen klare Prozesse für das Patch-Management von Drittanbieter-Software definiert werden, um Sicherheitsupdates automatisiert und flächendeckend auszurollen.
Das IT-Sicherheitsmanagement steht vor der Aufgabe, die Integrität lokaler Konfigurationsdateien permanent zu überwachen und den Zugriff auf sensible Systemkomponenten wie die Eingabeaufforderung aus Anwendungen heraus restriktiv zu reglementieren. Zudem muss die Unternehmensinfrastruktur so gehärtet werden, dass das Laden von Konfigurationen aus unvollständig verifizierten Netzwerkpfaden oder externen Cloud-Synchronisationen blockiert wird. Nur durch eine lückenlose Verhaltensüberwachung zur Laufzeit und eine strikte Durchsetzung von Compliance-Vorgaben lässt sich das Risiko von Lieferketten-Angriffen und lokalen Rechteausweitungen effektiv minimieren, um die operationelle Kontinuität der gesamten Organisation dauerhaft zu schützen.
