Notepad++发布了安全修复程序,修补了被中国高级威胁行为者利用的漏洞,该漏洞被用于劫持软件更新机制,选择性地向目标用户投递恶意软件。
版本8.9.2更新采用了维护者Don Ho称之为"双重锁定"的设计,旨在使更新过程"稳健且有效防止被利用"。这包括验证从GitHub下载的已签名安装程序(在版本8.8.9及更高版本中实现),以及新增的验证由notepad-plus-plus[.]org更新服务器返回的已签名XML功能。
除了这些增强功能外,自动更新组件WinGUp还引入了针对安全的更改:
移除libcurl.dll以消除DLL侧载风险
移除两个不安全的cURL SSL选项:CURLSSLOPT_ALLOW_BEAST和CURLSSLOPT_NO_REVOKE
将插件管理执行限制为仅使用与WinGUp相同证书签名的程序
此次更新还修复了一个高严重性漏洞(CVE-2026-25926,CVSS评分:7.3),该漏洞可能导致在运行应用程序的上下文中执行任意代码。
Ho表示:"在没有绝对可执行文件路径的情况下启动Windows资源管理器时,存在不安全搜索路径漏洞(CWE-426)。如果攻击者能够控制进程工作目录,这可能允许执行恶意的explorer.exe。在某些条件下,这可能导致在运行应用程序的上下文中执行任意代码。"
此次开发是在Notepad++披露托管提供商级别的安全漏洞几周后进行的,该漏洞使威胁行为者能够从2025年6月开始劫持更新流量,并将某些用户的请求重定向到恶意服务器以提供被篡改的更新。该问题于2025年12月初被发现。
根据Rapid7和卡巴斯基的报告,被篡改的更新使攻击者能够投递一个此前未记录的后门程序,名为Chrysalis。这起供应链事件被跟踪为CVE标识符CVE-2025-15556(CVSS评分:7.7),已被归因于名为Lotus Panda的中国关联黑客组织。
建议Notepad++用户更新到版本8.9.2,并确保从官方域名下载安装程序。
Q&A
Q1:Notepad++的"双重锁定"设计是什么?
A:双重锁定设计是Notepad++在8.9.2版本中采用的安全机制,包括验证从GitHub下载的已签名安装程序以及验证更新服务器返回的已签名XML,目的是使更新过程更加稳健且有效防止被利用。
Q2:CVE-2026-25926漏洞会造成什么影响?
A:这是一个高严重性漏洞,CVSS评分为7.3,属于不安全搜索路径漏洞。当在没有绝对可执行文件路径的情况下启动Windows资源管理器时,如果攻击者能够控制进程工作目录,可能导致在运行应用程序的上下文中执行任意代码。
Q3:Lotus Panda组织是如何攻击Notepad++的?
A:Lotus Panda是一个中国关联的黑客组织,他们通过托管提供商级别的安全漏洞,从2025年6月开始劫持Notepad++的更新流量,将某些用户的请求重定向到恶意服务器,投递名为Chrysalis的后门程序。
好文章,需要你的鼓励
Waymo近日发布软件更新,对旗下约4000辆自动驾驶车队实施召回,以帮助车辆规避积水道路。美国国家公路交通安全管理局(NHTSA)指出,此前Waymo机器人出租车在遭遇无法通行的积水路段时,仅减速而未完全停车。此次召回涵盖第五代和第六代自动驾驶系统车辆,共计3791辆。Waymo表示正在完善软件防护措施,并已限制车辆在极端天气及易发洪涝区域的运营。
南京大学提出Light-Omni框架,通过全局状态与潜在状态双机制,让AI视频助理无需反复推理即可实现精准记忆检索,速度提升逾12倍,准确率同步提高。
路面坑洞每年给城市造成数百万美元损失。车队管理公司Samsara推出名为"Ground Intelligence"的AI解决方案,通过已安装在数百万辆商用卡车上的摄像头,自动识别并追踪坑洞的位置与劣化程度。该系统以仪表盘形式呈现,可主动向城市管理者推送预警信息,将被动响应转变为主动规划。目前,芝加哥已成为其新客户。未来还将扩展至涂鸦、损坏护栏等城市基础设施监测。
TREK方法通过引入外部验证解法对AI进行短期校准,解决了GRPO训练在困难题目上因无法探索正确解法区域而陷入瓶颈的问题,在数学推理和智能体任务上均取得明显提升。